Blog

Actualidad sobre ciberseguridad, protección de datos y soluciones de software.

Descubre las novedades de la directiva NIS2 de obligatorio cumplimiento a partir de octubre 2024

7 Oct, 24

A partir de octubre de 2024, los estados miembros de la UE deberán adoptar la Segunda Directiva de Seguridad de Redes y de Información de la UE (NIS2) en su legislación nacional.

En sustitución a la directiva NIS1 de 2016, la directiva NIS2 impone normas de ciberseguridad más estrictas con mayores sanciones por incumplimiento de la legislación local. Esta Directiva dispone unos requisitos de seguridad TI revisados y más amplios para todos los Estados miembros de la UE. Uno de los propósitos más importantes de esta legislación sobre seguridad TI en la UE es contribuir «al funcionamiento eficaz de su economía y su sociedad». Por este motivo, incluye sectores estratégicos clasificados como “esenciales” o “importantes” por la Administración que están obligados a implementar estas normas de seguridad para garantizar la prestación de servicios a los usuarios sin interrupciones que afecten el correcto funcionamiento de las actividades diarias.

Las empresas estarán obligadas a cumplir las nuevas disposiciones de la NIS2 a partir el 18 de octubre de 2024 y estarán expuestas a sanciones económicas y administrativas en caso de incumplimiento.

La directiva NIS2 amplía la aplicación a un total de 18 sectores estratégicos para empresas con más de 50 trabajadores o un volumen superior a 10 millones de euros anuales, distribuyéndolos en dos grandes bloques según el nivel de impacto (criticidad) que podrían provocar en los usuarios.

SECTORES ESENCIALES: (ANEXO I DE LA DIRECTIVA NIS2)	SECTORES IMPORTANTES: (ANEXO II DE LA DIRECTIVA NIS2)
Sector incluido en el Anexo I con más de 250 empleados o un volumen de negocios anual de más de 50 M/ € y un balance general anual de más de 43 M/ €	Sectores incluidos en los Anexos I y II con más de 50 empleados o un volumen de negocios anual o un balance general anual de más de 10 M/ € siempre que no se consideren ya esenciales.
Energía	Servicios de correo y mensajería
Transporte	Gestión de residuos
Banca, infraestructuras del mercado financiero	Fabricación, producción y distribución de productos químicos
Sanidad	Fabricación, producción y distribución de productos químicos
Agua potable	Producción, procesamiento y distribución de alimentos
Aguas residuales	Fabricación
Infraestructura digital	Proveedores digitales
Gestión de servicios TIC (B2B)	Investigación
Administración pública
Aeroespacial

Realmente, el espectro empresarial que integran estos 18 sectores es muy amplio y, además, los legisladores europeos han dejado claro que consideran que es responsabilidad de los directivos de cada empresa garantizar la ciberseguridad y prevenir los incidentes de seguridad TI antes de que ocurran. Por otro lado, cada Estado miembro de la UE tiene la opción de identificar cuáles son sectores críticos o importantes, además de aplicar medidas excepcionales para cada sector siempre que lo consideren oportuno para garantizar la calidad del servicio.

Aplicación de medidas para la gestión del riesgo

Paso 1: Análisis de las medidas necesarias

El primer paso consiste en identificar individualmente para cada empresa qué medidas se deben aplicar para proteger la prestación de los servicios contratados por el usuario. La proporcionalidad de las medidas lo determina el impacto social y económico que pueda provocar un ciberincidente, bien sea por fallos internos de la propia organización o por ciberataques. De manera que el hecho de excluir alguna de las medidas de prevención requeridas, supone asumir una responsabilidad por parte de los directivos de la empresa en caso de interrupción parcial o total del servicio.

Paso 2: Medidas específicas para la gestión de riesgos

La NIS2 incluye estas medidas de protección activa que se deben aplicar a cualquier empresa o entidad que desempeñe su actividad dentro de los 18 sectores estratégicos incluidos en esta directiva:

Políticas de seguridad de los sistemas de información y análisis de riesgos.
Continuidad de las actividades mediante la gestión de copias de seguridad y la recuperación en caso de desastre, y la consiguiente gestión de crisis.
Gestión de incidentes de seguridad.
Adquisición: la seguridad en la adquisición, el desarrollo y el mantenimiento de sistemas de redes y de información, incluidas la gestión y divulgación de las vulnerabilidades.
Formación con prácticas básicas de ciberhigiene y formación en ciberseguridad para empleados.
Cifrado con políticas y procedimientos para la utilización de criptografía y sistemas de cifrado.
Cadena de suministro que cumplan con los aspectos de seguridad relativos a las relaciones entre cada entidad y sus proveedores o prestadores de servicios
Eficacia en políticas y procedimientos para evaluar las medidas para la gestión de riesgos de ciberseguridad.
Otras medidas organizativas que integran tanto seguridad digital como física de los recursos humanos, políticas de control de acceso y gestión de activos.
Otras medidas técnicas como la autenticación multifactorial o de autenticación continua, comunicaciones seguras de voz, vídeo y texto y sistemas seguros de comunicaciones de emergencia.

En algunos casos, la puesta en marcha de estas medidas de protección y prevención de las organizaciones afecta también a sus proveedores directos. Por ejemplo, en el caso de la cadena de suministros para empresas de fabricación implica que debe colaborar con proveedores que cumplan con la normativa NIS2 para garantizar el servicio sin interrupciones. La manera de garantizar que los proveedores cumplan con estos requisitos suele ser complicado, por este motivo, cada vez será más necesario solicitar homologaciones internas o certificaciones como la ISO27001 que aseguran que la organización cumple con todos los requerimientos de seguridad de la NIS2 para evitar asumir riesgos derivados en la prestación del servicio contratado.

Sanciones por incumplimiento

Estas medidas serán de obligatorio cumplimiento a partir del 27 de octubre de 2024 y deberán ser proporcionales al tamaño y la actividad de la organización. Además, será obligatorio notificar cualquier incidente que pueda afectar a terceros en un plazo máximo de 24 horas.La directiva NIS2 obliga a los Estados miembros de la UE a aplicar sanciones por incumplimiento del Artículo 21 (medidas para la gestión de riesgos) y el Artículo 23 (obligaciones de notificación de incidentes de seguridad significativos). Asimismo, establece importes mínimos para la aplicación de multas para las empresas que incumplan estos requerimientos.Las sanciones para sectores esenciales (alta criticidad) suponen hasta 10 M/ € o un 2% del volumen de negocio anualde alcance internacional extraído del último ejercicio presentado anterior a la multa. Y las sanciones para sectores importantes (criticidad media)suponen hasta 7 M/ € o un 1,4% del volumen de negocio anual. La Administración se reserva el derecho de establecer la multa en el importe que suponga una mayor cuantía.

Si quieres ampliar la información sobre la directiva NIS2 consulta este enlace: Directiva NIS2 – Centro Criptológico Nacional – CNI

¿Cómo puede ayudarte Edorteam?

Ahora puedes beneficiarte de los servicios de asesoría en ciberseguridad que incluye el Kit Consulting para empresas entre 50 y 250 empleados subvencionados por los Fondos Europeos Next Generation. En Edorteam contamos con más de 30 años de experienciaprotegiendo los datos de nuestros clientes. Nuestro equipo de expertos en normativa legal, ciberseguridad y protección de datos puede asesorarte para garantizar el cumplimiento de la normativa NIS2 y proteger la información crítica de tu empresa. Para más información, contáctanos y nuestros expertos en ciberseguridad te asesorarán personalmente sin compromiso.