La ciberseguridad es un aspecto esencial a nivel global, pero que especialmente preocupa en Europa. El próximo 17 de octubre concluye el plazo para la transposición de la Directiva NIS2 sobre ciberseguridad al ordenamiento jurídico nacional. Este nuevo texto normativo complementa y actualiza la directiva NIS adoptada en 2016, con nuevas responsabilidades para las entidades.
De obligado cumplimiento, ante la evolución de los ciberataques en los últimos años, La Directiva de Seguridad de la Información y las Redes 2 (NIS2) o Network and Information Security 2 Directive busca fijar un nivel elevado y uniforme de ciberseguridad en todos los estados miembros.
¿Qué novedades presenta?
La Directiva NIS2 destaca por ampliar su alcance a sectores que antes no estaban cubiertos. La norma de 2016 se centraba en seis sectores (energía, agua, banca, sanidad, transporte e infraestructura digital). En esta nueva oferta se incluyen las pymes.
Ahora se suman 12 sectores más divididos en dos grupos (los de alta criticidad y los críticos). Contempla también los sectores emergentes, esenciales en materia de seguridad y economía. Aquí entran, por ejemplo, servicios TIC, infraestructuras de mercados financieros, investigación, servicios postales, química, alimentación, proveedores digitales, gestión de residuos y fabricación.
Mientras que la Directiva NIS diferenciaba entre operadores de servicios esenciales y proveedores de servicios digitales, dejando que cada Esta Miembro de la UE decidiera qué entidades entraban en estas categorías, la NIS2 busca una clasificación con mayor uniformidad y claridad.
El objetivo principal la Directiva NIS2 es elevar los niveles de seguridad en toda la UE, y para logarlo, han introducido criterios específicos de evaluación de riesgos, y se han incrementado las exigencias en cuanto a las medidas de seguridad y la gestión de riesgos.
Uno de los aspectos clave es el enfoque en la seguridad de la cadena de suministro, pues cualquier vulnerabilidad en esta cadena puede comprometer la seguridad de todo el ecosistema. También se refuerza notablemente la gestión de incidentes.
Nuevas obligaciones
Ahora se verán afectadas unas 100.000 nuevas empresas, que tendrán que adaptarse a los nuevos requisitos estipulados. A partir de ahora, deberán: implementar políticas de seguridad y análisis de riesgos, gestión de incidentes, continuidad de las actividades del negocio (incluyendo copias de seguridad y recuperación ante desastres), seguridad en la cadena de suministro o notificación de incidentes.
En cualquier caso, las medidas tendrán que ser proporcionales a los riesgos a los que la empresa esté expuesta, al tamaño de la entidad y a la gravedad de los incidentes que pudiesen ocurrir, teniendo en consideración tanto el impacto económico como social. Todo dependerá de si la empresa posee la condición de esencial o de importante, es decir, si trabajan en sectores de alta criticidad y que afecta a las operaciones y seguridad diaria de los ciudadanos.
Sanciones aplicables
Las compañías que no cumpliesen con lo establecido en la Directiva NIS2 desde el 18 de octubre, se enfrentarían a elevadas multas económicas. La sanción podría ascender hasta los 10 millones de euros o el 2% de su negocio total anual global en el caso de entidades esenciales. En las entidades importantes, la cifra baja hasta los 7 millones de euros o el 1,4% de su negocio total anual global.
¿Cómo cumplir con la NIS 2?
En primer lugar, habrá que realizar una evaluación previa, realizando un análisis exhaustivo de los riesgos de ciberseguridad de la empresa en relación con los requisitos de la directiva. Así se podrán identificar posibles brechas de seguridad entre las prácticas actuales y obligaciones impuestas por la NIS2.
Es importante considerar las políticas de gestión. Desarrollar políticas, procedimientos y planes alineados con los estándares de la directiva, ejecutando acciones identificadas en el diagnóstico. Para ello, será clave contar con un marco documental sólido en materia de seguridad de la información, el cual incluyese procedimientos de gestión de incidentes y de continuidad del negocio.
El siguiente paso es la concienciación y formación. Para ello, habrá que implantar una cultura de seguridad dentro de la organización y proporcionar formación continua a todos los empleados, desde el personal operativo hasta la alta dirección, en materia de seguridad y buenas prácticas.
No hay que olvidar la detección y respuesta (mecanismos efectivos para detectar amenazas) y las pruebas y actualizaciones (todos los sistemas y sus componentes deben estar actualizados y parcheados de forma regular para garantizar que se mantengan resilientes frente a ciberataques). Además, es importante la supervisión continua de los sistemas. Solo así se podrá detectar y responder a posibles amenazas, colaborando activamente con los organismos competentes en materia de ciberseguridad.
Se recomienda analizar la transposición a la Directiva NIS2 en consonancia con la legislación nacional y seguir las recomendaciones de las autoridades nacionales en materia de ciberseguridad. Tras evaluar y desarrollar medidas técnicas, operativas y organizativas para la gestión de redes y sistemas informáticos, lo siguiente será comprender el impacto de un incidente cibernético y garantizar el cumplimiento de la NIS2.
