Qué es la Directiva NIS2 y cómo prepararse para ella

En un mundo donde la digitalización avanza a pasos agigantados, la protección de nuestros datos y la conformidad con las normativas nunca han sido tan cruciales. En este panorama ha surgido la Directiva europea NIS2, la cual afectará a gran parte de las organizaciones de los Estados Miembros de la UE y que, a partir del 17 de octubre de 2024, será de obligado cumplimiento.

Si no quieres sufrir sanciones o quedarte fuera de su importante implementación, sigue leyendo, pues recopilamos los datos clave para que te familiarices con la normativa y consejos para que la introduzcas en tu compañía cuanto antes.

¿Qué es la NIS2?

La Directiva de Seguridad de la Información y las Redes 2 (NIS2) o Network and Information Security 2 Directive es una legislación que busca establecer un nivel elevado y uniforme de ciberseguridad en todos los estados miembros de la Unión Europea.

Establece obligaciones para que las adopten aquellas entidades que se incluyen en su ámbito de aplicación y se centra en tres áreas principales:

• Ampliación del alcance de la aplicación: los 7 sectores cubiertos por la Directiva NIS original se complementa con varios nuevos.
• Nuevos mecanismos para la notificación de incidentes y el intercambio de información: la NIS2 exige la notificación oportuna de incidentes importantes.
• Aplicación más estricta del cumplimiento: la Directiva actualizada introduce sanciones específicas por incumplimiento, incluidas multas de hasta el 2% de la factura anual global.

Esta normativa representa un avance significativo en la ciberseguridad de la Unión Europea.

NIS2: Cambios y obligaciones más importantes

Como decíamos al comienzo, el 17 de octubre concluye el plazo para la trasposición de la directiva NIS2 y, la complejidad de las nuevas obligaciones impuestas por la normativa y las posibles sanciones por incumplimiento son las principales preocupaciones de las empresas.

Entre las medidas más importantes a adoptar, nos encontramos con la implementación de políticas de seguridad y análisis de riesgos, la gestión de incidentes, la continuidad de las actividades del negocio, la seguridad en la cadena de suministro o la notificación de incidentes. Todas ellas serán proporcionales a los riesgos a los que la empresa esté expuesta, al tamaño de la entidad y a la gravedad de los incidentes que puedan ocurrir.

Con todo ello, los principales cambios y obligaciones son los siguientes:

Nomenclatura de designación

La NIS2 introduce un cambio significativo en la manera en la que se clasifican las organizaciones que deben cumplir con sus obligaciones de ciberseguridad y que comentaremos al detalle en el siguiente apartado.

Mientras que la Directiva NIS diferenciaba entre operadores de servicios esenciales y proveedores de servicios digitales, dejando que cada Esta Miembro de la UE decidiera qué entidades entraban en estas categorías, la NIS2 busca una mayor uniformidad y claridad. Ahora las organizaciones se dividen en: entidades esenciales e importantes, utilizando criterios como el sector en el que operan, su tamaño y su facturación anual. Esta clasificación es más clara y uniforme a nivel europeo, lo que reduce las inconsistencias en la aplicación por parte de cada Estado.

Ámbito de aplicación y alcance

Esta normativa amplía significativamente su campo de acción en comparación con la versión anterior, principalmente mediante la identificación de nuevos sectores considerados de “alta criticidad” o “críticos”. Estos sectores son fundamentales para las actividades cotidianas y su interrupción podría tener un impacto severo en la vida económica y social.

Esta extensión ha hecho que muchas más organizaciones estén sujetas a cumplir con estas medidas.

Requisitos de seguridad y gestión de riesgos

El objetivo principal de esta directiva es elevar los niveles de seguridad en toda la UE, y para logarlo, han introducido criterios específicos de evaluación de riesgos, así como incrementar las exigencias en cuanto a las medidas de seguridad y la gestión de riesgos.

Uno de los aspectos clave es el enfoque en la seguridad de la cadena de suministro, pues cualquier vulnerabilidad en esta cadena puede comprometer la seguridad de todo el ecosistema.

También se refuerza la gestión de incidentes, exigiendo procedimientos más estrictos para la notificación de estos y la necesidad de informar de manera rápida y precisa.

Todo ello fomenta el desarrollo de un marco sólido para la notificación de incidentes y promueve una mayor colaboración público-privada, mejorando la capacidad de respuesta y la resiliencia ante posibles ciberamenazas.

Sanciones

NIS2 impone sanciones económicas más severas como medida disuasoria para las organizaciones que no cumplan con las medidas de gestión de riesgos o de notificación.

Estas podrán ir desde el 1,4% al 2% del volumen de negocio anual total a nivel mundial según el tamaño de la compañía.

Directiva NIS2: ¿A qué organizaciones afecta?

Esta directiva actualizada ha ampliado considerablemente el alcance de la aplicación en comparación con la versión original de 2016. Además, la NIS2 introduce una nueva clasificación que divide los sectores de aplicación en dos categorías:

1. Sectores de alta criticidad:
   1. Energía
   2. Transporte
   3. Banca
   4. Infraestructura del mercado financiero
   5. Salud
   6. Agua
   7. Infraestructura digital
   8. Gestión de servicios TIC
   9. Entidades de la administración pública
   10. Espacio
2. Otros sectores críticos:
   1. Servicios postales y de mensajería
   2. Gestión de residuos
   3. Fabricación, producción y distribución de productos químicos
   4. Producción, procesamiento y distribución de alimentos
   5. Fabricación
   6. Proveedores digitales
   7. Investigación

Además de la clasificación por sectores, esta directiva también introduce una clasificación adicional de entidades específicas:

• Esencial:
  • Grandes entidades en sectores de alta criticidad (facturación anual superior a 50 millones de euros).
  • Autoridades de certificación, registradores de dominios de alto nivel y proveedores de DNS, independientemente del tamaño de la empresa.
  • Prestadores de telecomunicaciones, medianos a grandes (ingresos superiores a 10M).
  • Instituciones de la administración pública.
  • Cualquier entidad que pertenezca a un sector muy crítico o crítico que un Estado Miembro defina como “esencial”.
  • Entidades definidas como críticas según la Directiva (UE) 2022/2557.
• Importante:
  • Entidades medianas (ingresos de 10 a 50 millones) en sectores muy críticos.
  • Entidades medianas y grandes de otros sectores críticos.
  • Cualquier entidad definida por un Estado miembro como “importante”.

La categoría a la que pertenece cada entidad tiene unas implicaciones prácticas importantes, pues las actividades de las clasificadas como “esenciales” estarán sujetas a una supervisión mucho más estricta y proactiva, como redadas aleatorias, controles de seguridad esenciales y solicitudes de prueba de cumplimiento.

De hecho, en caso de incumplimiento de la NIS2, las entidades esenciales pueden enfrentarse a una multa de hasta 10 millones de euros o el 2% de su facturación global anual.

Por su parte, las entidades clasificadas como “importantes” están sujetas a controles un poco menos estrictos, aunque pueden enfrentarse a sanciones de hasta 7 millones o el 1,4% de facturación.

NIS2: Cumplimiento

Si eres una de las organizaciones que debe cumplir con la normativa, debes comprender tus obligaciones de cumplimiento y presentación de informes, así como encontrar un socio que te ayude en el camino. Por ejemplo, debes notificar a las autoridades sobre cualquier amenaza cibernética significativa que identifiques y que podría hacer resultado en un incidente importante.

De hecho, la NIS2 impone obligaciones de notificación por fases, para incidentes que tengan un “impacto significativo” en la prestación de sus servicios. Estas notificaciones deben realizarse a la autoridad competente correspondiente o al CSRT (Equipo de respuesta a incidentes de seguridad informática).

Por otro lado, para promover la estandarización de las normas, sin imponer ni discriminar en favor del uso de un tipo particular de tecnología, se fomenta el uso de normas y especificaciones técnicas europeas e internacionales pertinentes para la seguridad de redes y sistemas de información.

Pasos a seguir para cumplir con la NIS2

Para cumplir con todo ello, desgranamos los pasos recomendados a seguir:

• Evaluación previa: se debe realizar un análisis exhaustivo de los riesgos de ciberseguridad de la empresa en relación con los requisitos de la directiva, el cual permite identificar las brechas entre las prácticas actuales de la empresa y las obligaciones impuestas por la NIS2.
• Políticas de gestión: desarrollar políticas, procedimientos y planes alineados con los estándares de la directiva y ejecutar las acciones pertinentes identificadas en el diagnóstico.
• Concienciación y formación: fomentar una cultura de seguridad dentro de la organización, así como proporcionar formación continua a los empleados en materia de seguridad y buenas prácticas.
• Detección y respuesta: establecer mecanismos efectivos para detectar cualquier amenaza de manera temprana y planes de respuesta a incidentes seguridad.
• Pruebas y actualizaciones: todos los sistemas y sus componentes deben estar actualizados y parcheados de forma regular para garantizar que se mantengan resilientes frente a ciberataques.
• Supervisión y colaboración: supervisar de forma continua los sistemas para poder detectar y responder a posibles amenazas, así como mantener una colaboración activa con los organismos competentes en materia de ciberseguridad.

¿Cómo prepararse para la implementación de la NIS2?

Como ya habrás imaginado después de leer el artículo, la mayor parte de las compañías están sujetas a esta normativa y van a tener que darse prisa en implementarla para evitar las sanciones. Por tanto, como resumen, lo primero que debes hacer es evaluar si los requisitos de la NIS2 se aplicación a tu organización y en qué medida.

El paso siguiente es investigar más a fondo cómo se ha trasladado esta Directiva a la legislación nacional de tu Estado y seguir las recomendaciones de las autoridades nacionales de ciberseguridad. Una vez llegues a este punto, evalúa y desarrolla medidas técnicas, operativas y organizativas para la gestión de redes y sistemas informáticos, riesgos de seguridad, etc.

Pero si todo esto te resulta abrumador, Plain Concepts está aquí para ayudarte. Tras muchos años de experiencia en materia de ciberseguridad, podemos ser tu mejor aliado para fortalecer tu compromiso con la seguridad y el cumplimiento normativo.

Nuestros expertos en ciberseguridad pueden ayudarte a reducir la probabilidad y el impacto de un incidente cibernético, así como garantizar el cumplimiento de la NIS2. Te asesorarán para que fortalezcas tu estrategia de seguridad a través de una defensa proactiva y la implementación de herramientas como Microsoft Purview, la cual se convertirá en un aliado esencial, proporcionando protecciones robustas de seguridad y cumplimiento, así como ayudarte a adaptarte y cumplir con los requisitos de la NIS2.

Además, el próximo 23 de octubre hemos organizado, junto a Microsoft, Ceca Magán y glueck kanja, “Copilot: Gobierno y Protección de la información en el contexto de la NIS2”, un evento donde podrás descubrir cómo la integración de Copilot no solo protege tus datos, sino que también potencia la productividad y la innovación dentro de Office 365, todo ello alineado con los principios del NIS2. ¡Aún estás a tiempo de reservar tu plaza de forma gratuita!