Descubre las novedades de la directiva NIS2 de obligatorio cumplimiento a partir de octubre 2024

A partir de octubre de 2024, los estados miembros de la UE deberán adoptar la Segunda Directiva de Seguridad de Redes y de Información de la UE (NIS2) en su legislación nacional.

En sustitución a la directiva NIS1 de 2016, la directiva NIS2 impone normas de ciberseguridad más estrictas con mayores sanciones por incumplimiento de la legislación local. Esta Directiva dispone unos requisitos de seguridad TI revisados y más amplios para todos los Estados miembros de la UE. Uno de los propósitos más importantes de esta legislación sobre seguridad TI en la UE es contribuir «al funcionamiento eficaz de su economía y su sociedad». Por este motivo, incluye sectores estratégicos clasificados como «esenciales» o «importantes» por la Administración que están obligados a implementar estas normas de seguridad para garantizar la prestación de servicios a los usuarios sin interrupciones que afecten el correcto funcionamiento de las actividades diarias.

Las empresas estarán obligadas a cumplir las nuevas disposiciones de la NIS2 a partir el 18 de octubre de 2024 y estarán expuestas a sanciones económicas y administrativas en caso de incumplimiento.

La directiva NIS2 amplía la aplicación a un total de 18 sectores estratégicos para empresas con más de 50 trabajadores o un volumen superior a 10 millones de euros anuales, distribuyéndolos en dos grandes bloques según el nivel de impacto (criticidad) que podrían provocar en los usuarios.

SECTORES ESENCIALES: (ANEXO I DE LA DIRECTIVA NIS2)	SECTORES IMPORTANTES: (ANEXO II DE LA DIRECTIVA NIS2)
Sector incluido en el Anexo I con más de 250 empleados o un volumen de negocios anual de más de 50 M/ € y un balance general anual de más de 43 M/ €	Sectores incluidos en los Anexos I y II con más de 50 empleados o un volumen de negocios anual o un balance general anual de más de 10 M/ € siempre que no se consideren ya esenciales.
Energía	Servicios de correo y mensajería
Transporte	Gestión de residuos
Banca, infraestructuras del mercado financiero	Fabricación, producción y distribución de productos químicos
Sanidad	Fabricación, producción y distribución de productos químicos
Agua potable	Producción, procesamiento y distribución de alimentos
Aguas residuales	Fabricación
Infraestructura digital	Proveedores digitales
Gestión de servicios TIC (B2B)	Investigación
Administración pública
Aeroespacial

 

Realmente, el espectro empresarial que integran estos 18 sectores es muy amplio y, además, los legisladores europeos han dejado claro que consideran que es responsabilidad de los directivos de cada empresa garantizar la ciberseguridad y prevenir los incidentes de seguridad TI antes de que ocurran. Por otro lado, cada Estado miembro de la UE tiene la opción de identificar cuáles son sectores críticos o importantes, además de aplicar medidas excepcionales para cada sector siempre que lo consideren oportuno para garantizar la calidad del servicio.

Aplicación de medidas para la gestión del riesgo

Paso 1: Análisis de las medidas necesarias

El primer paso consiste en identificar individualmente para cada empresa qué medidas se deben aplicar para proteger la prestación de los servicios contratados por el usuario. La proporcionalidad de las medidas lo determina el impacto social y económico que pueda provocar un ciberincidente, bien sea por fallos internos de la propia organización o por ciberataques. De manera que el hecho de excluir alguna de las medidas de prevención requeridas, supone asumir una responsabilidad por parte de los directivos de la empresa en caso de interrupción parcial o total del servicio.

Paso 2: Medidas específicas para la gestión de riesgos

La NIS2 incluye estas medidas de protección activa que se deben aplicar a cualquier empresa o entidad que desempeñe su actividad dentro de los 18 sectores estratégicos incluidos en esta directiva:

• Políticas de seguridad de los sistemas de información y análisis de riesgos.
• Continuidad de las actividades mediante la gestión de copias de seguridad y la recuperación en caso de desastre, y la consiguiente gestión de crisis.
• Gestión de incidentes de seguridad.
• Adquisición: la seguridad en la adquisición, el desarrollo y el mantenimiento de sistemas de redes y de información, incluidas la gestión y divulgación de las vulnerabilidades.
• Formación con prácticas básicas de ciberhigiene y formación en ciberseguridad para empleados.
• Cifrado con políticas y procedimientos para la utilización de criptografía y sistemas de cifrado.
• Cadena de suministro que cumplan con los aspectos de seguridad relativos a las relaciones entre cada entidad y sus proveedores o prestadores de servicios
• Eficacia en políticas y procedimientos para evaluar las medidas para la gestión de riesgos de ciberseguridad.
• Otras medidas organizativas que integran tanto seguridad digital como física de los recursos humanos, políticas de control de acceso y gestión de activos.
• Otras medidas técnicas como la autenticación multifactorial o de autenticación continua, comunicaciones seguras de voz, vídeo y texto y sistemas seguros de comunicaciones de emergencia.

En algunos casos, la puesta en marcha de estas medidas de protección y prevención de las organizaciones afecta también a sus proveedores directos. Por ejemplo, en el caso de la cadena de suministros para empresas de fabricación implica que debe colaborar con proveedores que cumplan con la normativa NIS2 para garantizar el servicio sin interrupciones. La manera de garantizar que los proveedores cumplan con estos requisitos suele ser complicado, por este motivo, cada vez será más necesario solicitar homologaciones internas o certificaciones como la ISO27001 que aseguran que la organización cumple con todos los requerimientos de seguridad de la NIS2 para evitar asumir riesgos derivados en la prestación del servicio contratado.

Sanciones por incumplimiento

Estas medidas serán de obligatorio cumplimiento a partir del 27 de octubre de 2024 y deberán ser proporcionales al tamaño y la actividad de la organización. Además, será obligatorio notificar cualquier incidente que pueda afectar a terceros en un plazo máximo de 24 horas.La directiva NIS2 obliga a los Estados miembros de la UE a aplicar sanciones por incumplimiento del Artículo 21 (medidas para la gestión de riesgos) y el Artículo 23 (obligaciones de notificación de incidentes de seguridad significativos). Asimismo, establece importes mínimos para la aplicación de multas para las empresas que incumplan estos requerimientos.Las sanciones para sectores esenciales (alta criticidad) suponen hasta 10 M/ € o un 2% del volumen de negocio anualde alcance internacional extraído del último ejercicio presentado anterior a la multa. Y las sanciones para sectores importantes (criticidad media)suponen hasta 7 M/ € o un 1,4% del volumen de negocio anual. La Administración se reserva el derecho de establecer la multa en el importe que suponga una mayor cuantía.

Si quieres ampliar la información sobre la directiva NIS2 consulta este enlace: Directiva NIS2 – Centro Criptológico Nacional – CNI

¿Cómo puede ayudarte Edorteam?

Ahora puedes beneficiarte de los servicios de asesoría en ciberseguridad que incluye el Kit Consulting para empresas entre 50 y 250 empleados subvencionados por los Fondos Europeos Next Generation. En Edorteam  contamos con más de 30 años de experienciaprotegiendo los datos de nuestros clientes. Nuestro equipo de expertos en normativa legal, ciberseguridad y protección de datos puede asesorarte para garantizar el cumplimiento de la normativa NIS2 y proteger la información crítica de tu empresa. Para más información, contáctanos y nuestros expertos en ciberseguridad te asesorarán personalmente sin compromiso.

Compliance obligatorio

La implementación de la Directiva NIS2 marca un hito crucial en la gestión de la ciberseguridad dentro de la Unión Europea, al establecer un compliance obligatorio que las empresas deben seguir para proteger sus infraestructuras críticas y datos sensibles. Esta normativa no solo refuerza la seguridad digital, sino que también busca garantizar la continuidad operativa ante posibles amenazas cibernéticas. Las organizaciones afectadas deberán adherirse a una serie de requisitos fundamentales para cumplir con estas novedades compliance 2024, asegurando así su alineación con los estándares más estrictos de seguridad cibernética y el cumplimiento obligatorio

• Implementación de políticas de seguridad para sistemas de información.
• Gestión y recuperación ante desastres para garantizar la continuidad de las actividades.
• Notificación obligatoria de incidentes de seguridad dentro de un plazo determinado.
• Evaluación continua de riesgos y medidas de protección activa.
• Formación en ciberseguridad para empleados y prácticas de ciberhigiene.
• Adopción de medidas de cifrado y criptografía para proteger datos sensibles.
• Seguridad en la cadena de suministro asegurando que los proveedores cumplan con la normativa.
• Autenticación multifactorial y sistemas seguros de comunicación.
• Evaluación de la eficacia de las políticas de gestión de riesgos

Nis 2 oktober 2024 – 2025

A partir de octubre de 2024, la directiva NIS2 marcará un cambio significativo en la forma en que se gestionan y protegen las infraestructuras críticas dentro de la Unión Europea. Esta normativa reemplaza a la directiva NIS1, introduciendo requisitos de ciberseguridad más detallados y un enfoque renovado para garantizar la resiliencia de los servicios esenciales. Las empresas y organizaciones afectadas deberán adaptarse a estas nuevas disposiciones para asegurar la continuidad de sus operaciones.

La directiva NIS2 tiene como objetivo principal mejorar la ciberseguridad en sectores estratégicos considerados esenciales o importantes. Esto se logrará mediante la implementación de medidas de seguridad avanzadas que cubrirán desde la gestión de riesgos hasta la respuesta a incidentes. El cumplimiento de estas medidas no solo es una obligación legal, sino que también es crucial para proteger la infraestructura digital de Europa y, por ende, su economía y sociedad.

Un aspecto clave de la NIS2 es la ampliación de su alcance a un total de 18 sectores estratégicos, con un enfoque particular en aquellos con más de 50 empleados o un volumen de negocios superior a 10 millones de euros. Esto incluye sectores que van desde la energía y el transporte hasta la sanidad y la administración pública. La directiva también establece sanciones significativas para aquellos que no cumplan, subrayando la importancia de adherirse a estos nuevos estándares.

Para las empresas, la implementación de la nis2 directiva implicará una revisión exhaustiva de sus políticas y procedimientos de ciberseguridad. Esto puede incluir la adopción de nuevas tecnologías de cifrado, la formación de empleados en ciberhigiene, y la colaboración con proveedores que cumplan con los estándares de seguridad requeridos. La preparación y el cumplimiento proactivo serán esenciales para evitar sanciones y garantizar la seguridad continua de los servicios ofrecidos.

Nis 2 iso 27001

La directiva NIS2 y la norma ISO 27001 están interrelacionadas en el contexto de la ciberseguridad, ya que ambas buscan mejorar la gestión de la seguridad de la información en las organizaciones. La NIS2 establece requisitos específicos para los sectores considerados esenciales e importantes, mientras que la ISO 27001 proporciona un marco para implementar un Sistema de Gestión de Seguridad de la Información (SGSI) que ayuda a cumplir con esos requisitos.

La implementación de la ISO 27001 puede ser un paso clave para las organizaciones que buscan adherirse a la NIS2. Al contar con un SGSI certificado, las empresas pueden demostrar que han adoptado las mejores prácticas en materia de seguridad, lo que no solo facilita el cumplimiento de la normativa, sino que también mejora su reputación ante clientes y socios comerciales.

Entre los beneficios de alinear la NIS2 con la ISO 27001, se encuentran:

• Mejora de la gestión de riesgos relacionados con la seguridad de la información.
• Mayor capacidad para detectar y responder a incidentes de seguridad.
• Establecimiento de un enfoque sistemático para la protección de datos sensibles.

Además, las organizaciones que implementan la ISO 27001 pueden facilitar el proceso de auditoría y cumplimiento con la NIS2, ya que la norma proporciona un conjunto claro de controles y procedimientos que pueden ser verificados. Esto no solo ayuda a evitar sanciones por incumplimiento, sino que también refuerza la resiliencia ante posibles ciberamenazas.