NIS2: Todo lo que debes saber sobre la nueva directiva de ciberseguridad, empresas, plazos y sanciones

La Directiva NIS2 es una de las grandes novedades en materia de normativa de ciberseguridad este año en Europa, afectando a muchas empresas y organismos que operan en sectores críticos.

¿Qué es la Directiva NIS2?

La Directiva NIS2 (Network and Information Systems) es una regulación de la Unión Europea enfocada en mejorar la ciberseguridad en todos los Estados Miembros, actualizando la Directiva NIS de 2016. El objetivo principal es reforzar las capacidades de resiliencia de las organizaciones en sectores clave frente a ciberataques, para proteger la infraestructura digital y crítica.

Plazos de implantación

Los Estados Miembros de la Unión Europea tienen hasta el 18 de octubre de 2024 para transponer la directiva a su legislación nacional. Esto significa que las empresas afectadas deben prepararse para cumplir con los requisitos antes de esta fecha.

De la misma forma, con fecha límite de 17 de enero de 2025, los Estados miembro deberán haber comunicado el régimen sancionador aplicable por incumplimiento y, para el 17 de abril de 2025 deberán haber elaborado una lista de entidades esenciales e importantes.

¿A qué empresas afecta?

La Directiva NIS2 amplía su ámbito de aplicación respecto a la anterior, afectando a un mayor número de sectores críticos y empresas. Entre las organizaciones que deben cumplirla se encuentran:

• Sectores críticos como la energía, transporte, banca, agua potable, salud, infraestructuras digitales y telecomunicaciones.
• Proveedores de servicios digitales como plataformas en línea, servicios en la nube, centros de datos, servicios de búsqueda en línea, entre otros.
• Las empresas medianas y grandes de los sectores mencionados. En concreto en el ámbito de la mediana empresa, serán aquellas entre 50 y 250 empleados, y entre 10 y 50 millones de euros de ingresos anuales. Mientras que, a nivel de gran cuenta, tendrán que cumplir con NIS2 las grandes organizaciones con más de 250 empleados y 50 millones de euros de ingresos anuales.

Además, NIS2 establece dos categorías de entidades afectadas:

• Entidades esenciales: Son aquellas que pertenezcan a los sectores de alta criticidad, así como los prestadores cualificados de servicios de confianza y registros de nombres de dominio de primer nivel y proveedores de servicios de DNS, independientemente de su tamaño. También serán entidades de este tipo los proveedores de redes públicas de comunicaciones electrónicas o de servicios de comunicación electrónicos disponibles para el público que sean consideradas medianas empresas, entidades de la Administración pública, cualquier otra entidad perteneciente a otros sectores críticos que el Estado miembro identifique como entidad esencial..
• Entidades importantes: Son todas aquellas entidades que pertenezcan a los sectores de alta criticidad o a otros sectores críticos que no pueden considerarse entidades esenciales. 

Nueve pasos que tendrán que seguir las organizaciones 

Para cumplir con la Directiva NIS2, las empresas deberán seguir una serie de pasos estructurados para adaptar sus políticas, sistemas y procesos de seguridad:

1. Identificación de los activos críticos

Las empresas deben realizar un inventario de todos los activos críticos (datos, sistemas, redes, infraestructuras, etc.) que requieren protección, priorizando aquellos cuya interrupción afectaría gravemente a sus operaciones o a la sociedad. Esta fase implica también identificar los proveedores de servicios clave, ya que la ciberseguridad de terceros es crucial en NIS2.

2. Evaluación del riesgo

Una vez identificados los activos críticos, es necesario realizar una evaluación de riesgos continua. Esto incluye analizar las amenazas cibernéticas, vulnerabilidades y sus posibles impactos en las operaciones de la organización. La evaluación del riesgo es esencial para definir las medidas de mitigación adecuadas.

3. Implementación de medidas técnicas y organizativas

Las empresas deben adoptar un conjunto de medidas técnicas y organizativas de ciberseguridad que protejan tanto los sistemas como los datos. Estas medidas deben seguir un enfoque basado en el riesgo e incluir soluciones como el cifrado, sistemas de detección de intrusiones, controles de acceso, segmentación de redes, entre otros.

4. Políticas de seguridad y gobernanza

Es fundamental establecer una política de seguridad clara, junto con un marco de gobernanza que incluya roles, responsabilidades y una estructura de reporte adecuada. Las organizaciones deberán crear procesos internos de toma de decisiones sobre ciberseguridad y asegurar que el liderazgo esté alineado con la normativa NIS2.

5. Supervisión y monitorización continua

Para garantizar la conformidad, las empresas deben tener sistemas de monitorización continua que detecten y analicen las actividades sospechosas o inusuales en sus redes y sistemas. La supervisión proactiva es clave para identificar incidentes de ciberseguridad a tiempo y mitigarlos antes de que causen daños significativos.

6. Plan de respuesta ante incidentes

Las organizaciones deben diseñar e implementar un plan de respuesta ante incidentes, que especifique los pasos a seguir cuando se produzca un ataque cibernético o una brecha de seguridad. Esto debe incluir procedimientos para la contención, mitigación, recuperación y comunicación tanto interna como externa.

7. Notificación de incidentes

NIS2 requiere que las empresas notifiquen los incidentes de ciberseguridad relevantes a las autoridades competentes de su Estado miembro en un plazo de 24 a 72 horas, dependiendo de la gravedad. Las notificaciones deben ser precisas, oportunas y contener detalles sobre el impacto y las medidas de respuesta.

8. Formación y concienciación

Uno de los pilares clave para cumplir con NIS2 es la formación continua del personal. Las empresas deben asegurar que todos los empleados, en especial aquellos que gestionan infraestructuras críticas, estén debidamente capacitados en temas de ciberseguridad y conozcan los procedimientos internos.

9. Revisión y auditoría

Finalmente, las empresas deben llevar a cabo auditorías periódicas para verificar que los controles de seguridad se mantengan actualizados y efectivos. Esto incluye revisar y actualizar políticas, medidas técnicas y realizar simulaciones de incidentes. Las auditorías deben ser exhaustivas y pueden requerir el apoyo de terceros para garantizar la objetividad y el cumplimiento

Sanciones

Las sanciones bajo NIS2 son significativas, con un enfoque similar al del Reglamento General de Protección de Datos (GDPR). Las multas por incumplimiento pueden llegar hasta el 2% de la facturación global anual de la empresa o 10 millones de euros, lo que sea mayor. Las sanciones se aplican a las organizaciones que no adopten medidas de seguridad adecuadas, no notifiquen incidentes de ciberseguridad o no implementen políticas y controles efectivos.