Con el objetivo de establecer un marco más robusto y exigente para la protección de las infraestructuras críticas y los servicios digitales la UE ha dado forma a La Directiva NIS2.
Esta normativa, que deroga y actualiza la anterior Directiva NIS1, introduce requisitos de seguridad más estrictos y un proceso de notificación de incidentes más detallado, abordando también la seguridad en la cadena de suministro y la divulgación de vulnerabilidades.
La Directiva NIS2 entró en vigor en enero de 2023 y los Estados miembros deben transponerla a su legislación nacional antes del 17 de octubre de 2024. Entre las medidas más destacadas que establece la Directiva NIS2 se encuentran la obligación de las entidades de adoptar políticas de seguridad de los sistemas de información y análisis de riesgos, así como la incorporación de obligaciones de notificación de incidentes.
Las políticas de seguridad de la información son documentos aprobados por la alta dirección que reflejan el compromiso de la empresa con la protección de sus datos, estableciendo medidas y controles diseñados para garantizar la confidencialidad, integridad y disponibilidad de la información. Por otro lado, el análisis de riesgos busca identificar los riesgos potenciales en los activos de TI y determinar la probabilidad de su ocurrencia.
Otra medida relevante es la obligación de comunicar los incidentes tanto al CSIRT de la empresa como a la entidad estatal competente, y también informar a los usuarios si estos se ven afectados. Esto implica que las organizaciones deben contar con sistemas adecuados para la detección de incidentes y modificar sus procedimientos para cumplir con los plazos de notificación exigidos.
La Directiva NIS2 también enfatiza la importancia de la formación constante en riesgos de ciberseguridad y concienciación, especialmente para los órganos de dirección, quienes deben aprobar y supervisar la puesta en marcha de las medidas adoptadas.
Las industrias que deben cumplir con la norma NIS2 se detallan en los Anexos I y II de la Directiva. Estos anexos identifican sectores de alta criticidad y otros sectores críticos que son esenciales para el mantenimiento de actividades económicas y sociales importantes. Entre ellos se encuentran sectores como energía, transporte, banca, infraestructuras del mercado financiero, salud, suministro de agua potable, infraestructuras digitales, administración pública y espacio. Además, la Directiva NIS2 también será de obligado cumplimiento para empresas de más de 250 empleados y con un volumen de facturación anual de 50 millones de euros en adelante. Esto incluye a los operadores que presten servicios esenciales y a los proveedores de servicios digitales que operan dentro de la Unión Europea.
Para las entidades afectadas, es crucial revisar y actualizar sus políticas de seguridad para garantizar el cumplimiento de la normativa. El apoyo de la alta dirección es fundamental en este proceso, ya que son responsables de la adopción de las medidas adecuadas para protegerse contra ciberataques y evitar sanciones.
La Directiva NIS2 es un paso adelante en la consolidación de un enfoque común y coherente en materia de ciberseguridad en toda la Unión Europea, buscando mejorar la resiliencia y la capacidad de respuesta ante incidentes de ciberseguridad a nivel europeo. Para obtener más información sobre cómo resolver las medidas de la Directiva NIS2 y garantizar el cumplimiento, puede consultar el artículo completo en Claranet o visitar el Centro Criptológico Nacional.
Sanciones:
Las sanciones por incumplimiento de la Directiva NIS2 son significativas y buscan asegurar que las entidades cumplan con las medidas de ciberseguridad establecidas. Según la información disponible, el incumplimiento de los requisitos de la NIS2 puede resultar en multas de hasta 10 millones de euros o el 2% de la facturación anual global para las «entidades esenciales». Para las entidades «importantes», las multas pueden alcanzar hasta 7 millones de euros o el 1,4% de la facturación anual global.
Estas sanciones reflejan la importancia que la Unión Europea otorga a la ciberseguridad y la protección de la información en sectores críticos. La Directiva NIS2 amplía el alcance de la regulación anterior, abarcando una gama más amplia de sectores y estableciendo requisitos más estrictos para la gestión de riesgos y la notificación de incidentes.
Es crucial para las entidades afectadas por esta directiva entender las implicaciones de su incumplimiento y tomar las medidas necesarias para asegurar la conformidad con las normativas de ciberseguridad de la UE. Esto incluye la implementación de políticas de seguridad adecuadas, la realización de análisis de riesgos y la formación de personal, así como la notificación oportuna de cualquier incidente de ciberseguridad a las autoridades competentes.
Para más detalles sobre las sanciones y cómo evitarlas, se recomienda consultar las fuentes especializadas que ofrecen guías y análisis detallados sobre la Directiva NIS2 y su aplicación, desde ASA-IntegraciÓN estaremos encantados de ayudarle.
