Todo lo que necesitas saber sobre NIS2: La nueva directiva de ciberseguridad europea y cómo prepararte antes de octubre de 2024
La Directiva NIS2 es una normativa de la Unión Europea destinada a mejorar la ciberseguridad y la resiliencia de las redes y sistemas de información en los Estados miembros. Se trata de la segunda versión de la Directiva NIS (Network and Information Security) , que fue la primera normativa europea en establecer medidas para alcanzar un alto nivel común de seguridad de las redes y sistemas de información en toda la UE.
La Directiva NIS2 podría convertirse para la ciberseguridad en el equivalente a lo que supone el RGPD de la UE en materia de privacidad: un estándar mundial que otros países utilizan como referente de buenas prácticas para su propia legislación.
La NIS 2 es importante porque establece requisitos de ciberseguridad muy estrictos para un gran número de compañías en la Unión Europea (algunas estimaciones calculan que más de 100.000 empresas en la Unión Europea tendrán que cumplir con la NIS 2).
Aunque la NIS 2 no resulta aplicable a tantas compañías como el RGPD de la UE, seguramente se convertirá 'de facto' en un estándar para las infraestructuras críticas que otros países ajenos a la UE tratarán de emular.
¿Cuándo entra en vigor la NIS2?
La NIS 2 entrará en vigor el 18 de octubre de 2024. Para entonces, los países de la UE deben haber publicado sus propias leyes y reglamentos basados en la NIS 2.
Para las compañías que no cumplan con la NIS 2, las multas son las siguientes:
- Para entidades esenciales: hasta 10 millones de euros o el 2% de la facturación anual total.
- Para entidades importantes: hasta 7 millones de euros o el 1,4% de la facturación anual total.
Es importante destacar que el artículo 20 requiere que los directivos de las entidades esenciales e importantes aprueben las medidas de gestión de riesgos de ciberseguridad y supervisen su implementación, y especifica que los miembros de los órganos de dirección pueden ser considerados responsables si la ciberseguridad no cumple con el artículo 21.
¿A quién afecta la Directiva NIS2?
1) La Directiva NIS2 afecta a las entidades que pertenezcan a sectores de alta criticidad (detalladas en el Anexo I de la Directiva) y a otros sectores críticos (Anexo II), tanto del sector público como del sector privado que se consideren medianas o grandes empresas (según la Recomendación 2003/361/CE una mediana empresa ocupa entre 50 y 250 empleados, tiene un volumen de negocios que no excede los 50 millones EUR y un balance general anual que no excede los 43 millones EUR).
2) Con independencia de su tamaño, la Directiva NIS2 también afecta a:
- Entidades pertenecientes a sectores de alta criticidad o a otros sectores críticos, cuando se trate de:
- Proveedores de redes públicas o de servicios de comunicaciones electrónicas disponibles para el público.
- Prestadores de servicios de confianza, registros de nombres de dominio de primer nivel y proveedores de servicios de DNS.
- Cuando la entidad sea el único proveedor en un Estado miembro de un servicio esencial para el mantenimiento de actividades sociales o económicas críticas.
- Cuando una perturbación del servicio prestado por la entidad pudiera tener repercusiones significativas sobre la seguridad pública, el orden público o la salud pública.
- Cuando una perturbación del servicio prestado por la entidad pudiera inducir riesgos sistémicos significativos, en particular para los sectores en los que tal perturbación podría tener repercusiones de carácter transfronterizo.
- Cuando la entidad sea crítica a la luz de su importancia específica a nivel nacional o regional para el sector o tipo de servicio en concreto o para otros sectores interdependientes en el Estado miembro.
- Entidades del sector público central o regional: De conformidad con el Derecho nacional, entidades de la Administración pública central o regional, que presten servicios cuya perturbación podría tener un impacto significativo en actividades sociales o económicas críticas.
- A criterio de cada Estado miembro: Adicionalmente, los Estados miembros podrán incorporar:
- A los centros de enseñanza, en particular cuando lleven a cabo actividades críticas de investigación.
- La Administración pública local.
- Entidades críticas según otra Directiva europea: Entidades identificadas como críticas según se definen en el artículo 2.1 de la Directiva (UE) 2022/2557 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a la resiliencia de las entidades críticas.
Características principales de la Directiva NIS2
La Directiva NIS2 marca un avance significativo en la regulación de la ciberseguridad y la protección de la infraestructura crítica en Europa. Ampliando el ámbito de aplicación a sectores esenciales como salud, transporte y telecomunicaciones, y diferenciando entre entidades esenciales e importantes, esta directiva establece requisitos más rigurosos y detallados para la gestión de riesgos y la respuesta a incidentes. Además, fortalece la cooperación entre Estados miembros y la Comisión Europea, introduce nuevas obligaciones de notificación y un régimen de sanciones más severo, y subraya la importancia de la resiliencia operativa para garantizar la continuidad del negocio frente a incidentes cibernéticos.
- Ampliación del ámbito de aplicación: La Directiva NIS2 amplía el alcance de la normativa anterior para incluir un mayor número de sectores y entidades. Ahora cubre sectores adicionales como la salud, el transporte, la gestión de residuos, la energía, las telecomunicaciones, y más. También introduce una distinción entre "entidades esenciales" y "entidades importantes", que están sujetas a diferentes niveles de obligaciones.
- Fortalecimiento de los requisitos de ciberseguridad: Las organizaciones que entren dentro del ámbito de la directiva deben implementar medidas de ciberseguridad más rigurosas, tales como la gestión de riesgos, la prevención y respuesta ante incidentes, y la seguridad en la cadena de suministro.
- Mejora de la cooperación entre Estados miembros: La Directiva NIS2 establece un marco más robusto para la cooperación entre las autoridades nacionales y la Comisión Europea. Esto incluye la creación de redes de intercambio de información y la coordinación en la respuesta a incidentes transfronterizos.
- Nuevas obligaciones de notificación: Se han revisado y ampliado las obligaciones de notificación de incidentes de seguridad. Las organizaciones deben reportar cualquier incidente que tenga un impacto significativo en la prestación de sus servicios.
- Régimen de sanciones: La Directiva NIS2 incluye un régimen de sanciones más severo para las entidades que no cumplan con las obligaciones establecidas, incluyendo multas significativas.
- Enfoque en la resiliencia y la continuidad del negocio: Además de centrarse en la ciberseguridad, la Directiva también pone un fuerte énfasis en la resiliencia operativa, es decir, la capacidad de las organizaciones para continuar operando incluso en caso de incidentes cibernéticos.
Descarga la guía esquemática de la Directiva NIS2
DESCARGAR GUÍA DE CUMPLIMIENTO
¿Cómo implementar la ciberseguridad según la NIS 2?
Conocer las vulnerabilidades, las amenazas y los riesgos técnicos en seguridad, es esencial para tu empresa. En Control Group te creamos tu Plan de Ciberseguridad con seguridad ofensiva i defensiva, con análisis de vulnerabilidades y auditorías para detectar puntos débiles y cumplir con la directiva.
Para cumplir con la NIS 2, las buenas prácticas para las entidades esenciales e importantes pasan por seguir estos pasos de implementación:
- Conseguir soporte de gestión experto.
- Configurar la gestión del proyecto.
- Realizar la formación inicial.
- Redactar una política de primer nivel sobre la seguridad de los sistemas de información.
- Definir la Metodología de Gestión de Riesgos.
- Realizar la evaluación y el tratamiento de los riesgos.
- Redactar y aprobar un Plan de Tratamiento de Riesgos.
- Implementar medidas de ciberseguridad.
- Configurar la seguridad de la cadena de suministros.
- Configurar la evaluación de la efectividad de la ciberseguridad.
- Configurar las notificaciones de incidentes.
- Establecer una formación continua en ciberseguridad.
- Realizar auditorías internas periódicas.
- Realizar revisiones periódicas de la gestión.
- Ejecutar acciones correctivas.
El objetivo de la Directiva NIS2 es mejorar la seguridad cibernética y reducir las vulnerabilidades en sectores críticos, garantizando que la infraestructura esencial y los servicios clave en la UE sean más resistentes frente a las ciberamenazas.
Esta directiva es una parte clave del marco regulatorio de la UE para la ciberseguridad y es un paso importante para fortalecer la seguridad en un entorno digital cada vez más complejo y amenazado.
Juntos, podemos construir un entorno empresarial más seguro y resistente
frente a las amenazas digitales en constante evolución,
Consulta nuestro plan de Ciberseguridad
Quiero un Plan de Ciberseguridad para mi empresa
Responde ahora este cuestionario gratuito y estudiaremos tu caso sin compromiso.