Blog

Actualidad sobre ciberseguridad, protección de datos y soluciones de software.

Qué es la Directiva NIS2 y cómo afecta a tu empresa

12 Sep, 24

La ciberseguridad es un reto crucial para todas las empresas en un entorno cada vez más global y digitalizado. La Directiva NIS2 toma el relevo de la Directiva NIS1 (2016) y tiene como principal objetivo definir un marco legal europeo y minimizar en impacto de los ciberataques sobre usuarios y organizaciones. Para ello, incluye una serie de procedimientos para la autoría en ciberseguridad que incluyen la prevención, la monitorización y la notificación de ataques, acompañadas de elevadas sanciones para sectores estratégicos y proveedores digitales.

¿Qué es la Directiva NIS2?

La Directiva NIS2 (Directiva (UE) 2022/2555) es una evolución de la Directiva NIS1 (UE 2016/1148), introducida en 2016 como marco normativo para la seguridad de las redes y los sistemas de información dentro de la Unión Europea. Sin embargo, la creciente sofisticación de los ciberataques y la necesidad de una mayor protección digital ha impulsado la actualización de esta legislación.

Aprobada en noviembre de 2022 y en vigor desde el 16 de enero de 2023, la Directiva NIS2 responde a las nuevas amenazas cibernéticas, tales como el auge de ataques que buscan extorsionar a las empresas y acceder a información confidencial para lucrarse de manera ilícita. Los Estados miembros de la UE deberán incorporar las disposiciones de la Directiva NIS2 en su legislación nacional antes del 17 de octubre de 2024.

Entre las novedades de la NIS2, destaca la expansión de la normativa a más sectores estratégicos considerados esenciales, así como a proveedores de servicios digitales. Además, refuerza los requisitos de seguridad que deben cumplir las empresas afectadas, con medidas que incluyen:

  • La implementación de procesos de notificación de incidentes cibernéticos.
  • La mejora en la colaboración e intercambio de información sobre brechas de seguridad.
  • La creación de una red de soporte europeo para gestionar crisis generadas por ciberataques o vulnerabilidades (EU-CYCLONe)

¿A quién aplica la directiva NIS2?

La Directiva NIS2 aplica a empresas públicas y privadas de una amplia gama de sectores considerados críticos para la estabilidad económica y social de la Unión Europea. Estos sectores se dividen en dos grandes categorías:

Sectores esenciales NIS2 de alta criticidad:

  • Energía
  • Banca e infraestructuras de mercados financieros
  • Salud
  • Transporte
  • Infraestructura digital
  • Aguas potables y residuales
  • Administración Pública (excluyendo organismos como el Poder Judicial, Parlamentos y Bancos Centrales)
  • Proveedores de servicios TIC

Sectores no esenciales NIS2:

  • Investigación
  • Química
  • Alimentación
  • Servicios postales
  • Proveedores digitales
  • Fabricación
  • Gestión de residuos

Las empresas dentro de estos sectores deberán cumplir con los estrictos criterios de ciberseguridad establecidos por la Directiva NIS2. Las sanciones por incumplimiento pueden ascender a 10 millones de euros o el 2% del volumen de negocios anual en sectores esenciales, y hasta 2 millones de euros en el caso de sectores no esenciales.

¿Qué requisitos exige la Directiva NIS2?

La Directiva NIS2 establece una serie de medidas obligatorias que las empresas afectadas deberán implementar para gestionar eficazmente los riesgos de ciberseguridad y cumplir con las obligaciones de notificación de incidentes. Estas medidas buscan minimizar el impacto de los incidentes en los usuarios y proteger los suministros y servicios estratégicos. Entre ellas se incluyen:

  • Políticas de seguridad para los sistemas de información y análisis de riesgos.
  • Gestión de incidentes cibernéticos.
  • Planes de continuidad de negocio, incluyendo gestión de copias de seguridad y recuperación ante desastres.
  • Seguridad de la cadena de suministro, garantizando que los proveedores cumplan con los estándares de ciberseguridad.
  • Políticas para la adquisición, desarrollo y mantenimiento seguro de los sistemas de redes y de información.
  • Procedimientos de evaluación de la eficacia de las medidas de gestión de riesgos.
  • Formación en ciberseguridad y prácticas básicas de ciberhigiene.
  • Uso de criptografía y, cuando proceda, cifrado.
  • Políticas de seguridad de recursos humanos, control de acceso y gestión de activos.
  • Implementación de autenticación multifactorial o autenticación continua y comunicaciones seguras dentro de la entidad.

Estas medidas serán de obligatorio cumplimiento a partir del 27 de octubre de 2024 y deberán ser proporcionales al tamaño y la actividad de la organización. Además, será obligatorio notificar cualquier incidente que pueda afectar a terceros en un plazo máximo de 24 horas.

Directiva NIS2 en España: Impacto y adaptación

La Directiva NIS2 en España establece nuevas responsabilidades para las empresas dentro de los sectores críticos y estratégicos. El país debe implementar esta normativa europea antes del 17 de octubre de 2024, adaptando su legislación para cumplir con las exigencias en ciberseguridad. El BOE será el medio oficial donde se publique la incorporación de esta directiva, y las empresas deberán estar atentas para no incurrir en sanciones que podrían alcanzar los 10 millones de euros. La implementación de las medidas incluidas en la Directiva NIS2 supone un reto considerable, ya que implican la revisión de la infraestructura tecnológica y de seguridad.

Directiva Europea NIS2: Nuevas medidas de ciberseguridad

La Directiva Europea NIS2 no solo refuerza los mecanismos de protección para las empresas, sino que también busca unificar los criterios de ciberseguridad entre los Estados miembros de la Unión Europea. Las organizaciones deben implementar controles más estrictos, como la autenticación multifactorial y la notificación de incidentes en menos de 24 horas. A su vez, se prevé la creación de un marco colaborativo entre los países europeos para gestionar amenazas y compartir información de manera eficiente. Este enfoque integral permitirá mejorar la resiliencia de las redes y sistemas de información a nivel continental.

¿Cómo puede ayudarte Edorteam?

Si sospechas que tu empresa puede estar afectada por la Directiva NIS2 o deseas evaluar el nivel de ciberseguridad de tu organización, en Edorteam contamos con más de 30 años de experiencia protegiendo los datos de nuestros clientes. Nuestro equipo de expertos en normativa legal, ciberseguridad y protección de datos puede asesorarte para garantizar el cumplimiento de la legislación y proteger la información crítica de tu empresa.

Para más información, consulta el INCIBE (Instituto Español de Ciberseguridad) o contáctanos. Nuestros consultores expertos en ciberseguridad te asesorarán sin compromiso.

0 comentarios

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Otras publicaciones relacionadas