La Directiva NIS2 (Network and Information Security 2) es la nueva normativa europea de ciberseguridad, adoptada en 2019. Que viene a reforzar la seguridad de los sistemas esenciales frente a ciberataques. Esta ley actualiza la anterior directiva NIS, que exigía mínimos requisitos de ciberseguridad para los estados miembros de la UE, sin embargo, la NIS2 tiene como objetivo mejorar la protección de infraestructuras clave como la energía, la salud, finanzas, transporte, agua o las telecomunicaciones en toda la UE para hacer frente a las crecientes amenazas cibernéticas mejorando los estándares de la ciberseguridad.
La Directiva NIS2 se adoptó formalmente en 2022 y los Estados miembros de la UE tienen hasta octubre de 2024 para transponerla a su legislación nacional. A partir de ese momento, las empresas afectadas deberán empezar a cumplir con los requisitos establecidos en la normativa, aunque se espera que los gobiernos comiencen a trabajar en la implementación de esta ley con antelación.
La Directiva NIS2 exige a los estados miembros de la Unión Europea adaptar su legislación nacional para cumplir con las nuevas medidas de ciberseguridad. Cada país deberá designar a las autoridades nacionales responsables de supervisar el cumplimiento y asegurar que las empresas incluidas en el ámbito de la directiva implementen las medidas adecuadas.
A diferencia de la NIS, la NIS2 no solo se centra en los operadores de servicios esenciales, sino que también abarca a otros sectores considerados críticos para la economía y la sociedad. Además, introduce nuevos requisitos sobre gestión de riesgos, gobernanza, y notificación de incidentes.
La NIS2 amplía considerablemente el número de empresas que estarán bajo su supervisión. Esta directiva incluye a:
1. Operadores de Entidades Esenciales (EE) o Entidades Importantes (EI) como el energético, el transporte, la salud, la banca, entre otros, aumentando su número a 18 sectores (antiguamente con la NIS eran solo 7)
¿Qué las hace clasificar como EI o EE?:
i. Pertenecer a uno de los 18 sectores determinados.
ii. Facturación o ganancia de más de 10 millones de euros, o más de 50 empleados.
A destacar: Indiferentemente del tamaño de la empresa esta puede ser designada a EI o EE si la empresa es el único proveedor de este servicio o, pertenece a la cadena de suministro de una entidad particular a la que se puede alcanzar a través la empresa en cuestión.
2. Entidades críticas (CER) adicionales, como los proveedores de servicios digitales, las telecomunicaciones, la gestión de residuos, la industria alimentaria, los fabricantes de productos médicos, las empresas de la cadena de suministro de TIC, entre otras, con un total de 12 sectores enumerados. De verse afectado, puede convertirse en una entidad crítica (EC) sin importar su tamaño.
A destacar: Indiferentemente del tamaño de la empresa esta puede ser designada como CER o EC si la empresa es el único proveedor de este servicio o, pertenece a la cadena de suministro de una entidad particular a la que se puede alcanzar a través la empresa en cuestión.
Para saber si tu empresa se ve afectada por esta ley debes validar que perteneces a uno de los sectores seleccionados y que cumples con varios de criterios de tamaño, facturación y resultados.
En definitiva, cualquier empresa que gestione infraestructuras esenciales o proporcione servicios esenciales podría estar obligada a cumplir con los requisitos de la NIS2.
Tabla explicativa:
Fuente SPAC Alliance
Las empresas afectadas deberán adoptar un enfoque más estructurado y exhaustivo para la gestión de riesgos de ciberseguridad. Entre otras medidas, tendrán que desarrollar políticas de seguridad, realizar auditorías periódicas, formar a su personal, y disponer de procedimientos claros para la notificación de incidentes de ciberseguridad.
De no cumplir con la normativa exigida esto acabaría en multas o sanciones administrativas diseñadas para obligar al cumplimiento de esta ley. Las multas pueden ser de hasta 2 millones de euros o el 10% del volumen del negocio global anual de las empresas, lo cual las dejaría en un lugar muy complicado, no solo económico sino de confianza en su reputación.
En caso de un ataque o incidente de seguridad significativo, las empresas estarán obligadas a notificarlo a las autoridades competentes en un plazo máximo de 24 horas, lo que supone un importante cambio en la rapidez y eficiencia de la gestión de incidentes.
Más allá de los costes y los cambios que puedan parecer desafiantes, esta ley representa un gran avance, ya que proporciona una protección robusta frente a una de las mayores amenazas a las que se enfrentan las empresas en la actualidad: las amenazas cibernéticas.
¿Cuándo se implementará esta ley?
La Directiva NIS2 se adoptó formalmente en 2022 y los Estados miembros de la UE tienen hasta octubre de 2024 para transponerla a su legislación nacional. A partir de ese momento, las empresas afectadas deberán empezar a cumplir con los requisitos establecidos en la normativa, aunque se espera que los gobiernos comiencen a trabajar en la implementación de esta ley con antelación.
¿Cómo se aplica?
La Directiva NIS2 exige a los estados miembros de la Unión Europea adaptar su legislación nacional para cumplir con las nuevas medidas de ciberseguridad. Cada país deberá designar a las autoridades nacionales responsables de supervisar el cumplimiento y asegurar que las empresas incluidas en el ámbito de la directiva implementen las medidas adecuadas.
A diferencia de la NIS, la NIS2 no solo se centra en los operadores de servicios esenciales, sino que también abarca a otros sectores considerados críticos para la economía y la sociedad. Además, introduce nuevos requisitos sobre gestión de riesgos, gobernanza, y notificación de incidentes.
¿A qué empresas aplica?
La NIS2 amplía considerablemente el número de empresas que estarán bajo su supervisión. Esta directiva incluye a:
1. Operadores de Entidades Esenciales (EE) o Entidades Importantes (EI) como el energético, el transporte, la salud, la banca, entre otros, aumentando su número a 18 sectores (antiguamente con la NIS eran solo 7)
¿Qué las hace clasificar como EI o EE?:
i. Pertenecer a uno de los 18 sectores determinados.
ii. Facturación o ganancia de más de 10 millones de euros, o más de 50 empleados.
A destacar: Indiferentemente del tamaño de la empresa esta puede ser designada a EI o EE si la empresa es el único proveedor de este servicio o, pertenece a la cadena de suministro de una entidad particular a la que se puede alcanzar a través la empresa en cuestión.
2. Entidades críticas (CER) adicionales, como los proveedores de servicios digitales, las telecomunicaciones, la gestión de residuos, la industria alimentaria, los fabricantes de productos médicos, las empresas de la cadena de suministro de TIC, entre otras, con un total de 12 sectores enumerados. De verse afectado, puede convertirse en una entidad crítica (EC) sin importar su tamaño.
A destacar: Indiferentemente del tamaño de la empresa esta puede ser designada como CER o EC si la empresa es el único proveedor de este servicio o, pertenece a la cadena de suministro de una entidad particular a la que se puede alcanzar a través la empresa en cuestión.
Para saber si tu empresa se ve afectada por esta ley debes validar que perteneces a uno de los sectores seleccionados y que cumples con varios de criterios de tamaño, facturación y resultados.
En definitiva, cualquier empresa que gestione infraestructuras esenciales o proporcione servicios esenciales podría estar obligada a cumplir con los requisitos de la NIS2.
Tabla explicativa:
Fuente SPAC Alliance
¿Cómo les afecta?
Las empresas afectadas deberán adoptar un enfoque más estructurado y exhaustivo para la gestión de riesgos de ciberseguridad. Entre otras medidas, tendrán que desarrollar políticas de seguridad, realizar auditorías periódicas, formar a su personal, y disponer de procedimientos claros para la notificación de incidentes de ciberseguridad.
De no cumplir con la normativa exigida esto acabaría en multas o sanciones administrativas diseñadas para obligar al cumplimiento de esta ley. Las multas pueden ser de hasta 2 millones de euros o el 10% del volumen del negocio global anual de las empresas, lo cual las dejaría en un lugar muy complicado, no solo económico sino de confianza en su reputación.
En caso de un ataque o incidente de seguridad significativo, las empresas estarán obligadas a notificarlo a las autoridades competentes en un plazo máximo de 24 horas, lo que supone un importante cambio en la rapidez y eficiencia de la gestión de incidentes.
Más allá de los costes y los cambios que puedan parecer desafiantes, esta ley representa un gran avance, ya que proporciona una protección robusta frente a una de las mayores amenazas a las que se enfrentan las empresas en la actualidad: las amenazas cibernéticas.