NIS2: todo sobre la directiva de ciberseguridad de la UE

La Directiva NIS2 es una normativa de la UE que refuerza la resiliencia cibernética de los Estados miembros y de las empresas mediante reglas más estrictas. Entre sus contenidos más importantes se incluyen la implementación de medidas de seguridad para mejorar la protección de TI, auditorías de seguridad y procedimientos rápidos de notificación en caso de incidentes cibernéticos.

¿Qué es la Directiva NIS2?

La Directiva NIS2 de la Unión Europea tiene como objetivo mejorar la resistencia frente a amenazas cibernéticas en infraestructuras esenciales e importantes de los Estados miembros. Las siglas NIS2 significan “Network and Information Security 2” (Seguridad de las Redes y los Sistemas Informáticos en español). Entró en vigor el 16 de enero de 2023, reemplazando la Directiva anterior NIS1, que ya había promovido un cambio en la seguridad de TI.

Para garantizar la máxima protección tanto en el sector privado como en el público de los Estados miembros de la UE, la nueva Directiva NIS2 introduce reglas más exhaustivas y estrictas para un grupo más amplio de organizaciones. Este marco más riguroso busca fortalecer la resiliencia cibernética y mejorar la respuesta ante amenazas y vulnerabilidades cibernéticas. Además, la NIS2 asegura que las instalaciones críticas para el suministro de bienes o servicios esenciales a la población estén protegidas contra fallos e interrupciones, incluso en situaciones de crisis.

El objetivo principal de la NIS2 es preparar mejor a las empresas para prevenir ciberataques y responder de manera rápida y eficiente ante problemas de TI. A través de una estrategia de seguridad más coherente entre los Estados miembros, se busca crear el más alto nivel posible de ciberseguridad tanto a nivel nacional como internacional dentro del espacio de la UE.

¿Qué cambia con la Directiva NIS2?

La obligación de implementar la Ley de Ciberseguridad de la Directiva NIS2 trae consigo profundas innovaciones en 18 sectores diferentes. Se duplica el número de sectores clasificados como esenciales, y se endurece el régimen de sanciones por incumplimiento. Además, los directores ejecutivos son responsables directamente.

En Alemania, España, Italia y Francia, por ejemplo, la Directiva NIS2 afectará a miles de empresas. En Alemania, hasta 40 000 empresas tendrán que cumplir los nuevos requisitos y en Italia, unas 50 000 empresas. En España, aproximadamente 25 000 empresas estarán sujetas a la nueva directiva, mientras que en Francia se verán afectadas más de 10 000 entidades.

Resumen de los cambios introducidos por la Directiva NIS2:

  • Ampliación de los sectores críticos: la Directiva NIS2 clasifica más sectores como críticos.
  • Sanciones más estrictas: la NIS2 aumenta significativamente las multas por infracciones.
  • Responsabilidad de los directivos: los directivos son directamente responsables de cumplir con las normativas de ciberseguridad.
  • Ámbitos de aplicación más amplios: la Directiva NIS2 se aplica a empresas con más de 50 empleados o con ingresos superiores a 10 millones de euros, así como a ciertas empresas, independientemente de su tamaño.
  • Obligación de análisis de riesgos exhaustivos: las empresas deben realizar análisis de riesgos minuciosos.
  • Gestión de riesgos y seguridad obligatorios: existen requisitos estrictos para la gestión de riesgos y medidas de seguridad. Son obligatorias algunas medidas como las pruebas de penetración, los cortafuegos de hardware y las estrategias de copias de seguridad.
  • Gestión de crisis obligatoria: ante incidentes de seguridad, son necesarias estrategias rápidas y efectivas de gestión de crisis, comunicación y sistemas de notificación.
  • Uso de protocolos de seguridad existentes: las empresas pueden utilizar estándares de seguridad ya establecidos como referencia.
MyDefender
MyDefender de IONOS
  • Protección contra el secuestro de datos
  • Escaneos antivirus periódicos
  • Copias de seguridad automáticas y restauraciones

¿Quiénes están afectados por la Directiva NIS2?

La Directiva NIS2 clasifica a las empresas en dos categorías: esenciales e importantes (esta última es nueva). Como hemos mencionado antes, se ven afectadas las empresas con más de 50 empleados o con un volumen de negocios anual de al menos 10 millones de euros. Además, algunas empresas también pueden estar sujetas a la Directiva NIS2 independientemente de su tamaño, si su interrupción supone un riesgo sistémico. La categoría “esencial” incluye empresas de once sectores, principalmente las que son fundamentales para el funcionamiento del Estado. La categoría “importante” cubre siete sectores adicionales.

Sectores y empresas esenciales

  • Energía
  • Abastecimiento de agua
  • Transporte
  • Banca
  • Infraestructuras de mercados financieros
  • Sanidad
  • Espacio
  • Gestión de aguas residuales
  • Administración pública
  • Infraestructura digital
  • Gestión de servicios TIC (B2B)

Sectores y empresas importantes

  • Servicios postales y de mensajería
  • Residuos
  • Industria química
  • Suministro de alimentos
  • Proveedores de servicios digitales
  • Industria manufacturera
  • Investigación (opcional)

¿Qué obligaciones tienen las empresas?

La Directiva NIS2 impone obligaciones estrictas y cambios significativos a las empresas. Entre ellos, se incluyen:

Obligaciones Medidas
Gestión de riesgos y continuidad Cifrado, autenticación multifactor, criptografía, asignación de roles y control de acceso, gestión de copias de seguridad y recuperación de sistemas, seguridad de la cadena de suministro y análisis de riesgos forman parte del programa obligatorio. Los requisitos mínimos varían según el tamaño de la empresa.
Notificación de incidentes Los incidentes de seguridad significativos deben notificarse a las autoridades en un plazo de 24 horas. La primera evaluación debe realizarse en 72 horas, y el informe final en un mes.
Registro de proveedores esenciales Las organizaciones afectadas y los proveedores de servicios de registro de nombres de dominio deben presentar información a las autoridades responsables a más tardar tres meses después de la entrada en vigor de la NIS2. Si no se cumple la obligación de registro, también puede cumplirla el CSIRT (Computer Security Incident Response Team).
Responsabilidad de los directivos Los directivos responsables de aprobar y supervisar las medidas de ciberseguridad y también se harán responsables en el caso de una negligencia grave.
Supervisión y sanciones Aproximadamente tres años después de la entrada en vigor de la NIS2, la autoridad supervisora tiene la opción de solicitar pruebas del cumplimiento de las obligaciones. Pueden ordenarse medidas en caso de peligro inminente.

¿Cómo facilitar la implementación de NIS2?

Para cumplir a tiempo con las obligaciones derivadas de la Directiva NIS2, las empresas deben tomar las siguientes medidas:

  • Análisis del estado actual y objetivo: verifica si estás afectado por las obligaciones de la NIS2 y evalúa el estado actual y las áreas de mejora de la resiliencia cibernética en tu empresa.
  • Implementación: deben introducirse análisis de riesgos y conceptos de seguridad para todos los sistemas de información.
  • Evaluación: es necesario revisar regularmente la eficacia de los métodos de gestión de riesgos.
  • Elaboración: es obligatorio desarrollar un plan para gestionar incidentes de seguridad.
  • Gestión de crisis y copias de seguridad: deben implementarse medidas de respaldo de datos y gestión de crisis.
  • Sistema de notificación: es esencial establecer un sistema efectivo de notificación de incidentes de seguridad.
  • Capacitación: los empleados deben recibir formación regularmente.
  • Seguridad en la cadena de suministro: debe garantizarse la seguridad en la cadena de suministro.

¿Qué pasa si no se implementa la NIS2?

Las empresas que no implementen las medidas prescritas se enfrentan a multas significativas. Las autoridades de supervisión, de acuerdo con la Directiva NIS2, tendrán amplios poderes de supervisión, control y mandato, incluyendo la imposición de plazos. Además, los directores ejecutivos asumirán una mayor responsabilidad en cuanto a las medidas de protección y seguridad, y pueden ser personalmente responsables en caso de infracciones o negligencia.

¿Cuándo entra en vigor la Directiva NIS2?

El 14 de diciembre de 2022, el Parlamento Europeo y el Consejo aprobaron la Directiva (UE) 2022/2555, conocida como Directiva NIS2. Esta reemplazó a la anterior Directiva NIS, y entró en vigor oficialmente en enero de 2023. La Directiva NIS2 introduce cambios significativos en el reglamento eIDAS (UE) nº 910/2014 y la Directiva EECC (UE) 2018/1972. Todos los Estados miembros de la UE debían transponerla en sus legislaciones nacionales antes del 17 de octubre de 2024.

En los distintos países, diferentes autoridades son responsables de dirigir la aplicación de la directiva. Por ejemplo, en Francia, la ANSSI (Agencia Nacional para la Seguridad de los Sistemas de Información) lidera los esfuerzos de aplicación, e incluso ha lanzado Mon Espace NIS 2, un servicio digital destinado a apoyar a las empresas en la aplicación de la directiva. La BSI (Oficina Federal de Seguridad de la Información) es la autoridad responsable en Alemania, y en España, el Centro Criptológico Nacional (CCN-CERT) supervisa las medidas de ciberseguridad y garantiza el cumplimiento de la nueva directiva.

¿Le ha resultado útil este artículo?
Utilizamos cookies propias y de terceros para mejorar nuestros servicios y mostrarle publicidad relacionada con sus preferencias mediante el análisis de sus hábitos de navegación. Si continua navegando, consideramos que acepta su uso. Puede obtener más información, o bien conocer cómo cambiar la configuración de su navegador en nuestra. Política de Cookies.