Cualquier empresa puede ser víctima de un ciberataque, desde una gran multinacional a una pequeña compañía. Y, a partir del próximo octubre de 2024, las organizaciones deberán adaptarse a una nueva legislación en materia de ciberseguridad.

Con el fin de aclarar cualquier duda y poner sobre la mesa los retos y las oportunidades que se abren a partir de la nueva NIS2, te comparto como debe ser la ciberseguridad en la era de NIS2. Descubre qué es la directiva NIS2, a qué empresas está dirigida, por qué se va a poner en marcha y qué obligaciones y sanciones contempla.

La Directiva NIS2 (Network and Information Systems Directive) es una normativa clave adoptada por la Unión Europea para fortalecer la ciberseguridad en sus Estados miembros. Esta nueva directiva, que entrará en vigor en 2024, amplía y refuerza los requisitos establecidos por la Directiva NIS original de 2016, imponiendo medidas más estrictas y sanciones más severas para garantizar un nivel uniforme de ciberseguridad en toda la Unión.

¿Qué es la Directiva NIS2?

La Directiva NIS2 tiene como objetivo principal incrementar el nivel de ciberseguridad colectivo en los Estados miembros de la UE. A diferencia de su predecesora, la NIS1, que establecía un marco básico para la seguridad de las redes y sistemas de información, la NIS2 impone requisitos más estrictos y amplía su alcance para incluir más sectores considerados críticos para la sociedad.

Diferencias entre GDPR y NIS2

Es importante distinguir entre la Directiva NIS2 y el Reglamento General de Protección de Datos (GDPR). Mientras que el GDPR se centra en la protección de datos personales, la NIS2 se orienta hacia la ciberseguridad de las infraestructuras esenciales. Ambas normativas, sin embargo, comparten el objetivo de fortalecer la resiliencia y seguridad en sus respectivos ámbitos.

Sectores Cubiertos por la NIS2

La NIS2 expande considerablemente el número de sectores que deben cumplir con estos requisitos. Entre los sectores ahora cubiertos se encuentran:

  • Energía: suministro, distribución, transmisión y venta.
  • Transporte: aéreo, ferroviario, por carretera y marítimo.
  • Finanzas: crédito, comercio, infraestructura de mercado.
  • Salud: investigación, producción, proveedores y fabricantes.
  • Agua potable y aguas residuales.
  • Infraestructura digital: servicios DNS, centros de datos, servicios en la nube, proveedores de servicios gestionados.
  • Administración pública, servicios postales y de paquetería, gestión de residuos, productos químicos, alimentos y producción de equipos electrónicos y maquinaria.

Requisitos para las Organizaciones

La Directiva NIS2 impone nuevos requisitos en cuatro áreas principales: gestión, reporte a las autoridades, gestión de riesgos y continuidad del negocio.

  1. Gestión: La dirección debe estar al tanto y comprender los requisitos de la directiva y los esfuerzos de gestión de riesgos. Tienen la responsabilidad directa de identificar y abordar los riesgos cibernéticos.
  2. Reporte a las autoridades: Las organizaciones deben establecer procesos para garantizar un reporte adecuado a las autoridades, incluyendo la obligación de informar incidentes mayores dentro de las 24 horas.
  3. Gestión de riesgos: Se deben implementar medidas para minimizar riesgos y consecuencias, incluyendo la gestión de incidentes, seguridad en la cadena de suministro, seguridad de red, control de acceso y cifrado.
  4. Continuidad del negocio: Las organizaciones deben considerar cómo asegurar la continuidad del negocio en caso de incidentes cibernéticos importantes, incluyendo la recuperación del sistema, procedimientos de emergencia y establecimiento de un equipo de respuesta a crisis .

Medidas Mínimas

No todos los requisitos de la directiva se aplican a todas las organizaciones. Dependiendo del tamaño, función social y exposición de la organización, el nivel de requisitos varía para asegurar que sean proporcionales. Sin embargo, hay un conjunto de medidas mínimas que todas las empresas relevantes deben implementar:

  • Evaluaciones de riesgos y políticas de seguridad para sistemas de información.
  • Plan para manejar incidentes de seguridad.
  • Plan para gestionar las operaciones comerciales durante y después de un incidente de seguridad.
  • Seguridad en la cadena de suministro.
  • Políticas y procedimientos para evaluar la efectividad de las medidas de seguridad.
  • Seguridad en la adquisición, desarrollo y operación de sistemas.
  • Entrenamiento en ciberseguridad y prácticas básicas de higiene informática.
  • Políticas y procedimientos para el uso de criptografía y cifrado.
  • Procedimientos de seguridad para empleados con acceso a datos sensibles o importantes.
  • Uso de autenticación multifactor, soluciones de autenticación continua y cifrado de comunicaciones internas, cuando sea apropiado.

Consecuencias del Incumplimiento

Las organizaciones que no cumplan con la NIS2 a partir de Octubre del 2024 se enfrentarán a multas significativas. Las empresas categorizadas como “esenciales” podrían ser multadas hasta con 10 millones de euros o el 2% de sus ingresos anuales globales, mientras que las “importantes” podrían enfrentar multas de hasta 7 millones de euros o el 1.4% de sus ingresos anuales globales .

Además de las multas, la directiva permite que los equipos de gestión sean responsabilizados legalmente por no cumplir con los nuevos requisitos. Esto enfatiza la importancia de la capacitación continua en ciberseguridad tanto para la gestión como para todos los empleados .

Pasos para Cumplir con la NIS2

Cumplir con la Directiva NIS2 requiere un enfoque proactivo y estratégico en la gestión de la ciberseguridad. Aquí hay algunos pasos clave que las organizaciones deben seguir para garantizar el cumplimiento:

  1. Evaluación de Riesgos: Realizar evaluaciones de riesgos exhaustivas para identificar y mitigar vulnerabilidades.
  2. Planificación y Políticas: Desarrollar políticas claras y planes de respuesta para incidentes de seguridad.
  3. Formación: Implementar programas de formación en ciberseguridad para todos los empleados.
  4. Tecnologías de Seguridad: Adoptar tecnologías avanzadas de seguridad, como la autenticación multifactor y el cifrado.
  5. Monitoreo Continuo: Establecer sistemas de monitoreo continuo para detectar y responder rápidamente a incidentes de seguridad .

Conclusión

La Directiva NIS2 marca un paso significativo hacia la mejora de la ciberseguridad en la Unión Europea. Al expandir los sectores cubiertos y fortalecer los requisitos y sanciones, la NIS2 busca asegurar que todas las infraestructuras críticas mantengan un nivel adecuado de seguridad cibernética, protegiendo así a la sociedad y la economía de amenazas cibernéticas cada vez más sofisticadas.

Referencias:

Compartir es construir