NIS2: Directiva europea para fortalecer la ciberseguridad en infraestructuras críticas

La Directiva NIS2 marca un avance significativo en la seguridad cibernética de las infraestructuras críticas, ampliando los requisitos de seguridad y afectando a un mayor número de organizaciones en comparación con su predecesora. A continuación, se destacan los cambios más relevantes y cómo las organizaciones pueden prepararse para cumplir con las nuevas regulaciones.

¿Qué es la Directiva NIS2?

La Directiva NIS2 (Network and Information System 2) establece requisitos mínimos de ciberseguridad para las infraestructuras críticas en la Unión Europea. Su objetivo es fortalecer el nivel de seguridad cibernética en Europa y fomentar la cooperación entre los países miembros para combatir ciberataques. La directiva entró en vigor el 16 de enero de 2023 y los Estados Miembros deben incorporarla a su legislación nacional antes del 17 de octubre de 2024.

Principales Implicaciones de NIS2

La Directiva NIS2 conlleva cambios sustanciales en comparación con su predecesora, incluyendo:

  • Mayor alcance: Se amplía a 18 sectores, incorporando siete nuevos sectores importantes.
  • Cadena de suministro: Las organizaciones deben evaluar el riesgo cibernético en toda su cadena de suministro.
  • Gestión de riesgos obligatoria: La gestión del riesgo cibernético se convierte en un requisito obligatorio.
  • Formación y auditorías: Se requiere capacitación para los empleados y auditorías completas en materia de ciberseguridad.
  • Responsabilidad de la dirección: Los directivos serán personalmente responsables por incumplimientos relacionados con la gestión del riesgo cibernético.
  • Sanciones: Se imponen diversas sanciones en caso de infracción.
  • Presentación de informes: Se deben cumplir estrictos requisitos de presentación de informes a la autoridad supervisora.
  • Equipos de respuesta: Cada Estado Miembro debe designar un CSIRT nacional (Equipo de Respuesta ante Incidentes de Seguridad Informática).

Sectores Esenciales e Importantes

NIS2 afecta directamente a las organizaciones que forman parte de los siguientes sectores esenciales:

  • Energía, Salud, Transporte, Banca y Finanzas, Agua potable, Aguas residuales, Infraestructura digital, Gestión de servicios TIC, Espacial y Administración pública.

Además, incluye sectores importantes como servicios de correo, gestión de residuos, productos químicos, alimentación, manufactura, servicios digitales e investigación.

Responsabilidad de los Directivos

La directiva subraya la importancia de la gestión del riesgo cibernético como parte integral de la gestión corporativa. Los directores ejecutivos deben supervisar e implementar medidas para asegurar que los riesgos estén identificados y gestionados adecuadamente.

Requisitos para Directores de Cumplimiento

Quienes lideren el cumplimiento normativo en sus organizaciones deben estar familiarizados con las regulaciones, documentar las medidas tomadas y verificar su efectividad. Además, deben implementar procedimientos para informar incidentes a la BSI dentro de las 24 horas en caso de ataque.

Sanciones por Incumplimiento

Las sanciones por incumplimiento de la NIS2 varían según el sector:

  • Infracciones comunes: Multas de hasta 2 millones de euros.
  • Sectores importantes: Multas de hasta 7 millones de euros o el 1,4% de la facturación anual.
  • Proveedores de infraestructura crítica: Multas de hasta 10 millones de euros o el 2% de la facturación anual.

La Directiva NIS2 redefine el marco de la ciberseguridad en Europa, imponiendo obligaciones más estrictas para proteger las infraestructuras críticas. Las organizaciones deben evaluar su situación actual, identificar los riesgos y asegurarse de implementar las medidas necesarias para cumplir con esta nueva normativa.

×