La Directiva NIS2, oficialmente conocida como Directiva (UE) 2022/2555, representa una actualización significativa de la Directiva original sobre Seguridad de las Redes y los Sistemas de Información (NIS) de 2016. Su propósito es fortalecer y armonizar las medidas de ciberseguridad en toda la Unión Europea, ofreciendo un marco común para que los Estados miembros enfrenten, de forma coordinada, las crecientes ciberamenazas en un entorno digital en expansión.
Ampliación de Alcance y Responsabilidades
Esta normativa actualizada incluye un mayor número de sectores y empresas, estableciendo criterios claros para el cumplimiento de las normas y enfatizando la importancia de que la alta dirección de cada organización se responsabilice de la supervisión de sus estrategias de ciberseguridad. Busca eliminar las disparidades en la forma en que cada país miembro aborda la ciberseguridad y establecer normas mínimas que garanticen un entorno digital seguro y uniforme en toda la región.
Sectores y Empresas Afectadas
La Directiva NIS2 afecta especialmente a empresas que operan en sectores críticos, como el de la energía, agua potable, aguas residuales, sanidad, transporte y tecnologías de la información y las comunicaciones. También incluye a aquellas empresas de infraestructura digital, como los proveedores de servicios de confianza y redes de comunicaciones electrónicas. Según la clasificación establecida en la NIS2, las empresas se dividen en Entidades Esenciales y Entidades Importantes, con requisitos de seguridad y notificación de incidentes más estrictos para las primeras.
Medidas de Cumplimiento
Para cumplir con la Directiva, las empresas deben adoptar medidas que refuercen tanto su seguridad preventiva como su capacidad de respuesta. Estas medidas incluyen:
- Evaluación constante de riesgos y vulnerabilidades.
- Identificación de posibles amenazas y puntos débiles, tanto internos como en la cadena de suministro.
- Planes bien definidos de respuesta a incidentes para minimizar el impacto de posibles ataques.
- Notificación rápida de cualquier incidente significativo a las autoridades competentes, en un plazo máximo de 24 horas para la alerta inicial y de 72 horas para los informes intermedios.
- Fomento de la ciberhigiene y la formación continua del personal.
Participación de la Alta Dirección
Uno de los aspectos más novedosos de la Directiva es la obligación de que la alta dirección participe activamente en la supervisión y aprobación de las estrategias de ciberseguridad. Esta exigencia resalta la importancia de contar con un Responsable de Seguridad o CISO (Chief Information Security Officer), un profesional cualificado que lidere y gestione de manera integral todos los aspectos relacionados con la ciberseguridad. Este nuevo enfoque busca que la ciberseguridad sea una prioridad estratégica en las decisiones de negocio y no solo una medida técnica.
Sanciones por Incumplimiento
La NIS2 contempla sanciones significativas para las organizaciones que no cumplan con sus exigencias. Las Entidades Esenciales pueden enfrentarse a multas de hasta 10 millones de euros o el 2% de su facturación anual global, mientras que las Entidades Importantes pueden recibir sanciones de hasta 7 millones de euros o el 1,4% de su facturación. La normativa entró en vigor el 16 de enero de 2023, y todos los Estados miembros debían haber adoptado las medidas necesarias para su cumplimiento antes del 17 de octubre de 2024. A partir de esta fecha, las sanciones por incumplimiento ya están en plena aplicación.
Apoyo y Adaptación
Para facilitar la adaptación a los requisitos de la NIS2, muchas empresas están recurriendo a proveedores de servicios de ciberseguridad, quienes ofrecen consultoría, gestión de incidentes y servicios de monitoreo de vulnerabilidades. Centros especializados como el iDOC (Intelligent Digital Operations Center) permiten a las organizaciones mantener una supervisión constante de sus infraestructuras digitales, gestionar incidentes y reforzar sus sistemas de protección. Este tipo de apoyo resulta fundamental para que las empresas puedan cumplir con los exigentes requisitos de la NIS2 y enfrentar con éxito los desafíos que trae consigo el entorno digital actual.
Conclusión
La Directiva NIS2 constituye un marco de ciberseguridad robusto y necesario para la protección de los sectores más críticos de la Unión Europea. Al promover un enfoque integral que incluye la participación de los altos directivos y establece obligaciones específicas para sectores clave, la NIS2 representa un avance significativo en la construcción de un entorno digital resiliente y seguro, capaz de resistir las amenazas actuales y futuras.
Grupo Sermicro
Directora CYSE - Cybersecurity Services
