Explorando la Directiva NIS 2: Veamos cómo pretende mejorar la ciberseguridad en Europa y qué implicaciones tiene para las organizaciones.
La Directiva NIS 2, aprobada por la Comisión Europea en diciembre de 2022, fue diseñada para abordar las grandes desigualdades en la seguridad de las redes y sistemas de información entre los países miembros, que amenazaban la integración digital en un entorno cada vez más interconectado. Su principal objetivo es garantizar un alto nivel común de ciberseguridad en toda la Unión Europea.
¿Qué es la Directiva NIS 2 y en qué se diferencia de NIS 1?
Esta nueva directiva viene a mejorar, y a sustituir, a NIS 1, la primera versión de medidas de ciberseguridad impulsadas por la Comisión Europea para los países de la Unión. NIS 1 permitió establecer un primer marco de cooperación en ciberseguridad, pero NIS 2 amplía su alcance, cubriendo más sectores y servicios considerados críticos por su relevancia económica y social.
Sectores esenciales y sectores importantes
A diferencia de la versión anterior, NIS 2 divide los sectores críticos en dos grupos principales: sectores esenciales y sectores importantes.
Además, actualiza e incrementa los controles de seguridad respecto a NIS 1, poniendo el foco en varios aspectos clave como:
- Notificación de incidentes.
- Seguridad en la cadena de suministro.
- Mejora del intercambio de información y divulgación de vulnerabilidades.
Requisitos clave de la Directiva NIS 2
La directiva impone requisitos concretos para las organizaciones públicas y privadas afectadas. Se enfoca en aumentar la seguridad en sectores críticos y mejorar la preparación ante ciberincidentes. También resalta la importancia de la cadena de suministro, instando a las organizaciones a ser conscientes de las vulnerabilidades de sus proveedores de servicios IT.
¿Cuándo entra en vigor NIS 2?
Aunque la fecha de aplicación obligatoria es el 18 de octubre de 2024, NIS 2 ya entró en vigor el 16 de enero de 2023, tras su publicación en el Diario de la UE en diciembre de 2022.
¿A quién afecta la Directiva NIS 2?
Los requisitos de NIS 2 están diseñados para afectar principalmente a medianas y grandes empresas de sectores críticos, como se establece en los anexos I y II de la directiva.
Según la normativa de la UE de 2003, una empresa es considerada mediana si tiene más de 50 empleados, un volumen de negocio de al menos 50 millones de euros anuales o un balance de 43 millones de euros. Las pequeñas empresas también pueden estar sujetas a NIS 2 si operan en sectores críticos como telecomunicaciones, servicios de confianza o son proveedores únicos de servicios esenciales en un país de la UE.
Sectores esenciales y otros sectores críticos bajo NIS 2
NIS 2 clasifica los sectores afectados en dos grandes grupos:
Sectores esenciales (Anexo I):
- Sector energético.
- Parte del sector sanitario.
- Organizaciones del sector de aguas residuales.
- Infraestructuras digitales.
- Servicios de gestión TIC (B2B).
- Sector espacial.
- Entidades públicas centrales o regionales.
Otros sectores críticos (Anexo II):
- Servicios postales y de mensajería.
- Gestión de residuos.
- Producción y distribución de sustancias químicas.
- Producción y distribución de alimentos.
- Fabricación en sectores como IT, sanidad, automoción y transportes.
- Centros de investigación y proveedores de servicios digitales.
Evaluación y posibles exenciones
Algunas empresas en estos sectores podrían acogerse a exenciones, pero deben evaluar cuidadosamente si les conviene aplicar las medidas de seguridad establecidas por NIS 2. La directiva seguirá evolucionando con el tiempo, y es previsible que los requisitos se incrementen a medida que la ciberseguridad en la Unión Europea madure.
Requisitos para cumplir con la Directiva NIS 2
Tanto si es obligatorio como si las empresas deciden voluntariamente cumplir con NIS 2, deberán implementar una serie de políticas y planes de ciberseguridad, entre los que se incluyen:
- Políticas de seguridad y análisis de riesgos.
- Plan de Gestión de Incidentes.
- Plan de Continuidad de las actividades (incluyendo backup, gestión de crisis y recuperación).
- Evaluación y plan de seguridad de la cadena de suministro.
- Políticas para la adquisición y mantenimiento de sistemas de información y redes.
- Plan de gestión y divulgación de vulnerabilidades.
- Procedimientos para evaluar la eficacia de las medidas de ciberseguridad.
- Planes de concienciación en ciberseguridad.
- Uso de controles criptográficos y seguridad para gestión de activos y RRHH.
- Autenticación de doble factor y sistemas seguros de comunicación de emergencia.
- Procedimiento de notificación de incidentes al CSIRT correspondiente, incluyendo la primera notificación en 24 horas y un informe final dentro de los 30 días.
Sanciones por incumplimiento
Las sanciones previstas por el incumplimiento de NIS 2 pueden ir desde advertencias hasta multas que alcanzan los 10 millones de euros o el 2% de la facturación total de la organización.
En definitiva, la Directiva NIS 2 marca un avance crucial en la ciberseguridad en la Unión Europea, abordando las disparidades en la protección de redes y sistemas de información entre los Estados miembros. Al establecer requisitos más rigurosos para la notificación de incidentes y la seguridad de la cadena de suministro, esta normativa no solo fortalecerá la preparación de las organizaciones ante ciberataques, sino que también fomentará una cultura de colaboración y conciencia en ciberseguridad.
Con su fecha de aplicación obligatoria el 18 de octubre de 2024, es fundamental que las empresas evalúen y adopten las medidas necesarias para cumplir con estos nuevos estándares y asegurar un entorno digital más seguro y resiliente.
Desde Alhambra podemos ayudarte a alinear y certificar procesos con tu negocio gracias a nuestro servicios de consultoría IT y consultoría de ciberseguridad. Además, ponemos a tu disposición multitud de servicios IT que te ayudarán a alcanzar esta y otras certificaciones (backup gestionado, DR, Servicios SOC 24×7, Alerta Temprana…).
Queremos ser tu partner IT de confianza. Solicítanos información ahora.