Blog

Actualidad sobre ciberseguridad, protección de datos y soluciones de software.

Ciberseguridad

Qué es la Directiva NIS2 y cómo afecta a tu empresa

12 Sep, 24

La ciberseguridad es un reto crucial para todas las empresas en un entorno cada vez más global y digitalizado. La Directiva NIS2 toma el relevo de la Directiva NIS1 (2016) y tiene como principal objetivo definir un marco legal europeo y minimizar en impacto de los ciberataques sobre usuarios y organizaciones. Para ello, incluye una serie de procedimientos para la autoría en ciberseguridad que incluyen la prevención, la monitorización y la notificación de ataques, acompañadas de elevadas sanciones para sectores estratégicos y proveedores digitales.

¿Qué es la Directiva NIS2?

La Directiva NIS2 (Directiva (UE) 2022/2555) es una evolución de la Directiva NIS1 (UE 2016/1148), introducida en 2016 como marco normativo para la seguridad de las redes y los sistemas de información dentro de la Unión Europea. Sin embargo, la creciente sofisticación de los ciberataques y la necesidad de una mayor protección digital ha impulsado la actualización de esta legislación.

Aprobada en noviembre de 2022 y en vigor desde el 16 de enero de 2023, la Directiva NIS2 responde a las nuevas amenazas cibernéticas, tales como el auge de ataques que buscan extorsionar a las empresas y acceder a información confidencial para lucrarse de manera ilícita. Los Estados miembros de la UE deberán incorporar las disposiciones de la Directiva NIS2 en su legislación nacional antes del 17 de octubre de 2024.

Entre las novedades de la NIS2, destaca la expansión de la normativa a más sectores estratégicos considerados esenciales, así como a proveedores de servicios digitales. Además, refuerza los requisitos de seguridad que deben cumplir las empresas afectadas, con medidas que incluyen:

  • La implementación de procesos de notificación de incidentes cibernéticos.
  • La mejora en la colaboración e intercambio de información sobre brechas de seguridad.
  • La creación de una red de soporte europeo para gestionar crisis generadas por ciberataques o vulnerabilidades (EU-CYCLONe)

¿A qué empresas y sectores afecta?

La Directiva NIS2 aplica a empresas públicas y privadas de una amplia gama de sectores considerados críticos para la estabilidad económica y social de la Unión Europea. Estos sectores se dividen en dos grandes categorías:

Sectores esenciales NIS2 de alta criticidad:

  • Energía
  • Banca e infraestructuras de mercados financieros
  • Salud
  • Transporte
  • Infraestructura digital
  • Aguas potables y residuales
  • Administración Pública (excluyendo organismos como el Poder Judicial, Parlamentos y Bancos Centrales)
  • Proveedores de servicios TIC

Sectores no esenciales NIS2:

  • Investigación
  • Química
  • Alimentación
  • Servicios postales
  • Proveedores digitales
  • Fabricación
  • Gestión de residuos

Las empresas dentro de estos sectores deberán cumplir con los estrictos criterios de ciberseguridad establecidos por la Directiva NIS2. Las sanciones por incumplimiento pueden ascender a 10 millones de euros o el 2% del volumen de negocios anual en sectores esenciales, y hasta 2 millones de euros en el caso de sectores no esenciales.

¿Qué requisitos exige la Directiva NIS2?

La Directiva NIS2 establece una serie de medidas obligatorias que las empresas afectadas deberán implementar para gestionar eficazmente los riesgos de ciberseguridad y cumplir con las obligaciones de notificación de incidentes. Estas medidas buscan minimizar el impacto de los incidentes en los usuarios y proteger los suministros y servicios estratégicos. Entre ellas se incluyen:

  • Políticas de seguridad para los sistemas de información y análisis de riesgos.
  • Gestión de incidentes cibernéticos.
  • Planes de continuidad de negocio, incluyendo gestión de copias de seguridad y recuperación ante desastres.
  • Seguridad de la cadena de suministro, garantizando que los proveedores cumplan con los estándares de ciberseguridad.
  • Políticas para la adquisición, desarrollo y mantenimiento seguro de los sistemas de redes y de información.
  • Procedimientos de evaluación de la eficacia de las medidas de gestión de riesgos.
  • Formación en ciberseguridad y prácticas básicas de ciberhigiene.
  • Uso de criptografía y, cuando proceda, cifrado.
  • Políticas de seguridad de recursos humanos, control de acceso y gestión de activos.
  • Implementación de autenticación multifactorial o autenticación continua y comunicaciones seguras dentro de la entidad.

Estas medidas serán de obligatorio cumplimiento a partir del 27 de octubre de 2024 y deberán ser proporcionales al tamaño y la actividad de la organización. Además, será obligatorio notificar cualquier incidente que pueda afectar a terceros en un plazo máximo de 24 horas.

¿Cómo puede ayudarte Edorteam?

Si sospechas que tu empresa puede estar afectada por la Directiva NIS2 o deseas evaluar el nivel de ciberseguridad de tu organización, en Edorteam contamos con más de 30 años de experiencia protegiendo los datos de nuestros clientes. Nuestro equipo de expertos en normativa legal, ciberseguridad y protección de datos puede asesorarte para garantizar el cumplimiento de la legislación y proteger la información crítica de tu empresa.

Para más información, consulta el INCIBE (Instituto Español de Ciberseguridad) o contáctanos. Nuestros consultores expertos en ciberseguridad te asesorarán sin compromiso.

Etiquetas:

Síguenos

0 comentarios

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Otras publicaciones relacionadas

Ciberseguridad gestionada

Ciberseguridad gestionada

20 Jun, 2024 | ,

La ciberseguridad gestionada protege los sistemas de información y redes contra ataques cibernéticos, intrusiones y malware. Aliada con el Kit Digital, mejora la competitividad y eficiencia, ofreciendo soluciones como marketing digital y firewalls avanzados, garantizando protección en tiempo real.