Cumplimiento normativo

NIS2: Comprensión de la nueva directiva de ciberseguridad de la UE

6 minutos de lectura

Después de la implementación de la directiva de Seguridad de las Redes y la Información (NIS) en 2016, la Unión Europea decidió adoptar una postura más estricta, ampliar el decreto adaptado e involucrar a más entidades en sus intentos de aumentar el nivel de ciberseguridad en Europa. ¿Qué esperar de NIS2? Aquí hay algunas preguntas que puedes tener en cuenta, y las respuestas a ellas.

¿Cuál fue el propósito de la primera directiva NIS?

La directiva NIS, adoptada en 2016, fue la primera legislación sobre ciberseguridad relativa a todos los estados miembros de la Unión Europea. Se centró principalmente en organizaciones en dos grupos: operadores de servicios esenciales (OES), como salud, transporte, energía, etc., y proveedores de servicios digitales (DSP), incluidos motores de búsqueda en línea, mercados de Internet y servicios en la nube. NIS requería que estas organizaciones cumplieran con las medidas de seguridad apropiadas e informaran cualquier incidente importante de ciberseguridad que experimentaran, pero la directiva también permitió a los estados considerar sus circunstancias nacionales. El objetivo principal de la directiva era mejorar la ciberseguridad de las empresas europeas, entre otras cosas, proporcionando una autoridad NIS nacional, exigiendo que las empresas tengan un Equipo de Respuesta de Seguridad Informática (CSIRT) y permitiendo la comunicación estratégica en un Grupo de Cooperación, que comprende la UE los estados miembros, la Comisión Europea y la Agencia de Ciberseguridad de la UE (ENISA).

 ¿Qué es NIS2?

La directiva NIS2 amplía su predecesora, incluye una mayor variedad de organizaciones de diferentes ámbitos y, por primera vez, considera la seguridad de la cadena de suministro de las TIC. Su creación estuvo motivada por años de desarrollo en el área de la ciberseguridad europea, así como por los recientes desafíos de la ciberseguridad. Durante la pandemia de COVID-19, los ciberataques aumentaron un 220 % en los estados miembros de la UE , y en España el último informe emitido por el Ministerio de interior este mes de febrero,  subrayaba que en 2022 hubieron 375.506 ciberdelitos, un 352% más que en 2015. , lo que pone de manifiesto que la directiva NIS original puede haber tenido un alcance demasiado limitado. El objetivo de NIS2 es fortalecer aún más la ciberseguridad de los estados europeos individuales, apoyar una mejor conciencia situacional conjunta y mejorar la capacidad de la UE para enfrentar colectivamente los problemas de seguridad al mejorar el proceso de intercambio de información entre los diferentes sectores y países individuales. NIS2 debe minimizar las diferencias entre los muchos estados y sectores y presentar un plan estratégico unificado con respecto a una gran variedad de amenazas de seguridad cibernética. En comparación con NIS1, NIS2 introduce medidas de supervisión más estrictas para las autoridades nacionales, así como requisitos de aplicación más estrictos.

 

¿Qué empresas se incluyen en NIS2?

NIS2 cubre casi todas las entidades comerciales medianas y grandes que operan en el mercado interior de la Unión Europea. Eso incluye no solo a los estados miembros de la UE, sino también a organizaciones fuera de la UE que son esenciales dentro de su mercado.

¿Qué sectores se incluyen en la directiva NIS1?

  • Cuidado de la salud

  • Infraestructura digital

  • Transporte

  • Suministro de agua

  • Proveedores de servicios digitales

  • Infraestructura bancaria y del mercado financiero

  • Energía

 

¿Qué sectores han sido agregados por la directiva NIS2?

  • Proveedores de redes o servicios públicos de comunicaciones electrónicas

  • Gestión de aguas residuales y residuos

  • Fabricación de ciertos productos críticos (por ejemplo, productos farmacéuticos, dispositivos médicos y productos químicos)

  • Alimento

  • Servicios digitales (por ejemplo, plataformas de redes sociales y servicios de centros de datos)

  • Espacio (por ejemplo, aeroespacial)

  • Servicios postales y de mensajería

  • Administración Pública

Fuente: Cyberpilot, 2022

 

¿Qué requisitos introduce NIS2?

La directiva se compone de siete puntos que deben ser seguidos por las empresas y sectores aplicables. Los requisitos incluyen respuesta a incidentes, seguridad de la cadena de suministro, encriptación, divulgación de vulnerabilidades y también un enfoque de dos etapas para el informe de incidentes, según el cual las organizaciones deben informar un incidente dentro de las 24 horas posteriores a su primera ocurrencia y luego enviar un informe final como mucho un mes después.

¿Qué puede pasar con las empresas que no cumplan con la directiva?

Si las empresas no cumplen con los requisitos de NIS2, pueden tomarse una variedad de medidas de cumplimiento, que incluyen instrucciones vinculantes, una recomendación de una auditoría de seguridad y multas administrativas de hasta 10 millones de euros o el 2 % de la facturación anual mundial total de la empresa en el ejercicio anterior.

 

¿Cuándo será implementada esta directiva?

Los Estados miembros deberán adoptar y publicar las medidas necesarias para cumplir lo establecido en esta normativa, como tarde, el 17 de octubre de 2024.

¿Cómo deben prepararse las empresas?

NIS2 requerirá que las organizaciones evalúen sus riesgos de seguridad cibernética, que es algo que puedes hacer con anticipación para obtener una mejor idea de tus fortalezas y puntos débiles. Dado que el cifrado también formará parte de la directiva, puedes examinar cómo proteges y cifras tus datos en este momento y ver si hay alguna mejora que desees realizar.

Puedes consultar toda la información de NIS2 en este documento: 

DIRECTIVA (UE) 2022/2555 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 14 de diciembre de 2022