Directiva NIS2: un paso crucial para la ciberseguridad en Europa

En un mundo cada vez más interconectado, la ciberseguridad se ha convertido en un pilar esencial para garantizar el bienestar en nuestras sociedades. En Europa, la Directiva NIS2 marcará un antes y un después en la regulación de la seguridad de las redes y los sistemas de información, reforzando las medidas de seguridad e incluyendo sectores clave que, en los últimos años, se han convertido en pieza clave para nuestras naciones.

¿Qué es la Directiva NIS2?

La Directiva NIS2 es una evolución de la Directiva NIS (Network and Information Systems) que fue adoptada por la Unión Europea en 2016. La NIS original tenía como objetivo mejorar la ciberseguridad y proteger las infraestructuras críticas en toda la Unión Europea. Ahora bien, el panorama de las amenazas a las que nos enfrentamos estos últimos años ha cambiado de forma radical. Los ataques cibernéticos han aumentado no solo en frecuencia sino también en sofisticación, afectando tanto infraestructuras críticas como a otros sectores cuyo core de negocio es clave para la sociedad. Ante este escenario, la Comisión Europea ha planteado la Directiva NIS2 con el fin de reforzar y actualizar la regulación actual en materia de ciberseguridad, para garantizar la seguridad de los Estados miembro.

Alcance de la Directiva NIS2

Una de las novedades que incorpora la NIS2 es su amplio alcance con respecto a su predecesora. NIS2 introduce una clasificación de sectores en dos grupos principales: sectores esenciales y sectores importantes. Además, establece un marco para aumentar la resiliencia cibernética de los sectores esenciales y de los proveedores de servicios digitales en toda la UE. La principal diferencia respecto a la NIS original es que la NIS2 amplía significativamente el alcance de los sectores contemplados, introduciendo sanciones más severas y exigiendo la cooperación y coordinación entre los Estados miembro para combatir las ciberamenazas.

Adicionalmente, la NIS 2 incorpora a empresas medianas, que antes no eran consideradas lo suficientemente grandes o críticas como para cumplir con la anterior NIS. Con la NIS2, todas las empresas medianas y grandes en los sectores cubiertos deben cumplir con la normativa, sin que el tamaño afecte a su debido cumplimiento.

Sectores esenciales y sectores importantes

Los sectores esenciales son aquellos que, en el caso de sufrir una interrupción o un ciberataque, pueden tener un impacto devastador en la seguridad nacional, la economía o los ciudadanos, incluyendo:

• Energía: electricidad, gas, petróleo y otros proveedores de energía.
• Infraestructura digital: centros de datos, proveedores de servicios en la nube, puntos de intercambio de Internet, etc.
• Banca: instituciones financieras y proveedores de infraestructura del mercado financiero.
• Agua potable y residuos: proveedores de agua potable y sistemas de gestión de aguas residuales.
• Transporte: infraestructuras críticas como aeropuertos, puertos, ferrocarriles y carreteras.
• Salud: hospitales, laboratorios de investigación médica y otros servicios de salud.

De igual manera, la NIS2 incluye sectores importantes que se consideran fundamentales para el funcionamiento de la economía y la sociedad:

• Industria alimentaria: fabricantes y proveedores de alimentos.
• Fabricación de productos químicos y farmacéuticos.
• Servicios digitales: plataformas de redes sociales, marketplaces, motores de búsqueda y otros servicios en línea.
• Servicios de correos y logística.

¿Cuándo será efectiva la Directiva NIS2?

La Directiva NIS2 fue aprobada el 28 de noviembre de 2022 como parte de la estrategia global de la Unión Europea para aumentar su capacidad en materia de ciberseguridad. No obstante, la implementación no es inmediata.

Los Estados miembro de la UE tienen hasta el 17 de octubre de 2024 para transponer la directiva a sus legislaciones nacionales (en España, por ejemplo, deberán trasponerla alineada al Esquema Nacional de Seguridad) y los Estados miembro están obligados a establecer leyes que sigan los requisitos de la NIS2 y a designar autoridades competentes para supervisar y hacerla cumplir de forma correcta.

Sanciones y multas por incumplimiento de la NIS2

Uno de los aspectos más diferenciales de la NIS2 es el endurecimiento de las sanciones para las organizaciones que no cumplan con las obligaciones de cumplimiento. Estas sanciones han sido diseñadas para ser proporcionadas y disuasorias, con el objetivo de asegurar que las organizaciones sean conscientes de la importancia de contar con medidas robustas de ciberseguridad.

Las organizaciones que incumplan las obligaciones establecidas por la NIS2 pueden enfrentarse a multas significativas, ascendiendo hasta:

• 10 millones de euros, o
• El 2% de los ingresos globales anuales de la organización

Imponiéndose una multa que represente la mayor cuantía entre estas dos opciones.

Adicional a lo anterior, un aspecto novedoso de la NIS2 es la posibilidad de imponer responsabilidad directa a los directivos de las organizaciones. Los gerentes y ejecutivos que no implementen las medidas necesarias para proteger de forma oportuna sus entidades pueden enfrentarse a sanciones individuales (multas personales y medidas disciplinarias).

Además, la NIS2 establece obligaciones específicas en cuanto a la notificación de incidentes de seguridad. Si una organización sufre un ciberataque o incidente de seguridad significativo, debe notificar a las autoridades nacionales en un plazo determinado. El incumplimiento de estas obligaciones puede resultar en sanciones adicionales a las ya comentadas anteriormente.

La importancia de contar con una empresa de ciberseguridad robusta

Cumplir con la Directiva NIS2 no es simplemente una cuestión de evitar sanciones, sino que consiste en proteger a las organizaciones de amenazas cibernéticas cada vez más sofisticadas. Entendiendo el panorama actual en cuanto a ciberseguridad, las consecuencias de sufrir un ciberincidente pueden ser devastadoras, tanto a nivel financiero como reputacional. Por ello, contar con una empresa de ciberseguridad que proporcione a tu organización un enfoque integral y robusto es esencial no sólo para cumplir con los requisitos de la NIS2, sino también para mitigar y gestionar riesgos de forma eficiente.

Recibir asesoramiento de una empresa especializada en ciberseguridad es fundamental para ayudar a las organizaciones a determinar la mejor manera de gestionar la seguridad y garantizar el cumplimiento de la NIS2, a través de una evaluación inicial que permita priorizar las inversiones en ciberseguridad y garantizar que los recursos se asignen de manera efectiva, sin correr el riesgo de incumplir ningún tipo de obligación con esta nueva normativa.

Firmado: Alfredo Díez, director de Cipherbit-Grupo Oesía