La Directiva NIS2 (Directiva (UE) 2022/2555) representa un avance significativo en la estrategia de ciberseguridad de la Unión Europea, ampliando su alcance para incluir a un mayor número de sectores y empresas, incluyendo a las pequeñas y medianas empresas (pymes). Esta normativa busca reforzar la resiliencia de las infraestructuras críticas y garantizar un nivel elevado de seguridad en las redes y sistemas de información.

¿A quién afecta la NIS2?

La NIS2 se aplica a entidades públicas y privadas que operan en sectores considerados esenciales o importantes. Esto incluye sectores como energía, transporte, banca, salud, agua potable, infraestructura digital, servicios postales, gestión de residuos, fabricación de productos críticos, entre otros. Las pymes que operan en estos sectores o que forman parte de su cadena de suministro también están sujetas a las disposiciones de la NIS2.

Obligaciones para las pymes bajo la NIS2

Las pymes incluidas en el ámbito de aplicación de la NIS2 deben implementar una serie de medidas técnicas y organizativas para gestionar los riesgos de ciberseguridad. Entre estas medidas se encuentran:

• Desarrollar políticas de seguridad de la información.
• Implementar programas de formación y concienciación en ciberseguridad para el personal.
• Establecer procedimientos de gestión de incidentes y planes de continuidad del negocio.
• Garantizar la seguridad en la cadena de suministro y en la adquisición, desarrollo y mantenimiento de sistemas.
• Adoptar medidas de protección como el cifrado de datos y la autenticación multifactor.

Además, las pymes deben notificar a las autoridades competentes cualquier incidente de seguridad significativo en un plazo determinado, generalmente de 24 a 72 horas, dependiendo de la gravedad del incidente.

Preparación y desafíos para las pymes

A pesar de la importancia de estas medidas, muchas pymes enfrentan desafíos significativos para cumplir con la NIS2. Según el «Informe sobre Ciberpreparación en España 2023» elaborado por Hiscox, el 43% de las pymes reconoce no contar con un plan formal de respuesta ante incidentes. Además, un estudio de INCIBE indica que el 70% de las pymes españolas no dispone de un presupuesto asignado a ciberseguridad.

Estos datos reflejan una brecha significativa entre las exigencias de la NIS2 y la realidad del tejido empresarial, especialmente en lo que respecta a recursos económicos y humanos dedicados a la ciberseguridad.

Pasos recomendados para las pymes

Para adaptarse a la NIS2, se recomienda a las pymes:

1. Realizar una auditoría de ciberseguridad para identificar vulnerabilidades y evaluar riesgos.
2. Desarrollar e implementar políticas y procedimientos de seguridad adecuados.
3. Formar al personal en prácticas de ciberseguridad y concienciación sobre riesgos.
4. Establecer protocolos de gestión de incidentes y planes de continuidad del negocio.
5. Supervisar y gestionar la seguridad en la cadena de suministro.

Además, las pymes pueden considerar la adopción de estándares reconocidos como la ISO 27001 o el Esquema Nacional de Seguridad (ENS) para estructurar sus esfuerzos de cumplimiento.

Conclusión

La NIS2 impone nuevas obligaciones en materia de ciberseguridad que afectan a un amplio espectro de empresas, incluidas las pymes. Aunque la adaptación puede suponer un desafío, especialmente en términos de recursos, es esencial para proteger la integridad de los sistemas de información y garantizar la continuidad del negocio en un entorno cada vez más digitalizado y expuesto a amenazas cibernéticas.