La Directiva NIS2, que entró en vigor en enero de 2023, es un conjunto de leyes y normas de ciberseguridadLas soluciones de ciberseguridad son esenciales en la era di... diseñado para unificar y fortalecer el nivel de seguridad en todos los países miembros de la Unión Europea. Los estados miembros tienen hasta el 17 de octubre de 2024 para transponer y adaptar esta directiva a su legislación nacional, lo que implica que las empresas y sectores afectados deben actualizar sus sistemas y protocolos en un plazo limitado.

Objetivos y Alcance de la NIS2

La NIS2 es una actualización de la anterior directiva NIS y busca armonizar las medidas de seguridad en sectores esenciales e importantes, especialmente aquellos considerados críticos. Entre estos sectores se incluyen energía, transporte, banca, salud, agua potable, infraestructuras digitales y administración pública, entre otros. Además, la directiva pone especial énfasis en la seguridad de la cadena de suministro y en los proveedores de servicios provenientes de fuera de la UE.

Clasificación de Entidades

La directiva distingue entre entidades esenciales y entidades importantes:

• Entidades Esenciales: Pertenecen a sectores de alta criticidad y tienen obligaciones más estrictas en materia de ciberseguridad. Incluyen empresas de energía, transporte, salud, agua potable, infraestructuras digitales y administraciones públicas centrales y regionales.
• Entidades Importantes: Forman parte de sectores críticos pero no se consideran esenciales. Incluyen servicios postales y de mensajería, gestión de residuos, industria química, alimentación y proveedores digitales como motores de búsqueda y redes sociales.

Obligaciones de Ciberseguridad

Las organizaciones clasificadas como esenciales o importantes deben implementar medidas de ciberseguridad adecuadas para gestionar y minimizar los riesgos en sus redes y sistemas de información. Algunas de las medidas clave incluyen:

• Control de accesos: Implementación de políticas de acceso estrictas y autenticación multifactor.
• Protección contra código malicioso: Uso de herramientas y protocolos para prevenir y detectar malware y ransomware.
• Gestión de incidentes: Establecimiento de procedimientos para la notificación y respuesta ante incidentes de seguridad.

Notificación Obligatoria de Incidentes

Una de las obligaciones más destacadas de la NIS2 es la notificación obligatoria de incidentes de ciberseguridad. Las organizaciones deben informar a las autoridades competentes o a su Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT) en tres fases:

1. Notificación Inicial: Dentro de las 24 horas posteriores a la detección del incidente.
2. Notificación Intermedia: A las 72 horas, proporcionando actualizaciones sobre el estado y posibles consecuencias.
3. Notificación Final: En un plazo máximo de un mes, con un informe detallado sobre la gravedad, impacto y medidas adoptadas.

El incumplimiento de estas obligaciones puede resultar en sanciones económicas significativas, que pueden llegar hasta 10 millones de euros o el 2% de la facturación anual global para entidades esenciales, y hasta 7 millones de euros o el 1,4% de la facturación anual global para entidades importantes.

Apoyo del Centro Criptológico Nacional

Para facilitar el cumplimiento de la directiva, el Centro Criptológico Nacional (CCN) ha habilitado un servicio de consultas a través del correo electrónico [email protected]. Además, el CCN ofrece recursos y guías, como la CCN-STIC 892, que detallan las medidas necesarias para adaptarse a la NIS2 siguiendo el Esquema Nacional de Seguridad (ENS).

La Directiva NIS2 representa un paso significativo hacia la mejora de la ciberseguridad en la Unión Europea. Las organizaciones deben tomar medidas proactivas para cumplir con los nuevos requisitos, fortaleciendo sus sistemas y protocolos de seguridad. La cooperación y el cumplimiento serán esenciales para proteger las infraestructuras críticas y garantizar la resiliencia en el panorama digital europeo.