Cómo entender la nueva Directiva NIS2: Regulación y Cumplimiento en el Marco de la Unión Europea

07 Abr Cómo entender la nueva Directiva NIS2: Regulación y Cumplimiento en el Marco de la Unión Europea

¿Qué es la Directiva NIS2?

En primer lugar, la Directiva NIS2, conocida oficialmente como Directiva (UE) 2022/2555, es un texto legislativo adoptado por la Unión Europea para mejorar la ciberseguridad. Se basa en la Directiva NIS original, que se centraba en la seguridad de las redes y los sistemas de información. Sin embargo, va más allá al abordar el panorama siempre cambiante de las ciberamenazas. Mientras que la primera Directiva NIS sentó las bases, la NIS2 es una revisión completa.

La Directiva pretende reforzar la ciberseguridad y la resistencia digital en toda la UE, garantizando que los Estados miembros y las empresas que operan en la Unión mantengan unos niveles elevados. Todo ello forma parte de la estrategia de la UE para crear un espacio digital más seguro en el que puedan gestionarse eficazmente los incidentes cibernéticos, ya sean causados por piratas informáticos, fallos del sistema o incluso catástrofes naturales.

¿A quién se aplica NIS2?

El ámbito de aplicación de NIS2 es mucho más amplio que el de la directiva original. No se dirige únicamente a las empresas tecnológicas o a los grandes proveedores de servicios digitales. Introduce dos categorías de entidades reguladas: entidades esenciales y entidades significativas.

Entidades esenciales: industrias consideradas vitales para la sociedad y la economía. Pensemos en la energía, la sanidad, el transporte, los servicios financieros y las infraestructuras digitales. Si un ciberataque interrumpe estos sectores, las consecuencias podrían ser masivas.

Grandes entidades: Puede que no sean tan críticas como las entidades críticas, pero su fallo puede tener consecuencias de gran alcance. Sectores como los servicios postales, el suministro de alimentos y la

fabricación de productos químicos entran en esta categoría. Aunque el impacto de un ataque en estos sectores puede no ser catastrófico, sí causaría importantes trastornos.

Si su organización pertenece a una de estas categorías, debe familiarizarse con NIS2.

¿Qué significa esto para las empresas?

¿Qué está en juego para las empresas que ahora están cubiertas por la NIS2? La Directiva impone nuevas obligaciones en una serie de ámbitos clave, y el cumplimiento de estos requisitos supondrá un reto para algunas organizaciones.

Ámbito y sectores más amplios

La Directiva NIS2 se aplica a una gama de sectores mucho más amplia que su predecesora. Sectores como la energía, el transporte, la banca y la sanidad están cubiertos, y muchos más. Esto significa que muchas organizaciones que nunca han tenido que preocuparse por la ciberseguridad a este nivel ahora tienen que dar un paso adelante. Para algunas, la carga normativa que supone el cumplimiento de la normativa puede resultar un poco abrumadora, sobre todo si siguen necesitando medidas de ciberseguridad sólidas.

Mayores obligaciones de ciberseguridad

Con la NIS2, no basta con tener unos cuantos cortafuegos y programas antivirus. Las empresas deben adoptar medidas integrales de gestión de riesgos, incluidas políticas de respuesta a incidentes, seguridad de la cadena de suministro y planes de continuidad de la actividad. Cuando se trata de ciberseguridad, se trata de ser proactivo en lugar de reactivo. Evaluaciones periódicas de la seguridad, formación del personal y seguimiento de las actualizaciones del software son algunas de las prioridades de las empresas.

Formación obligatoria

Los Estados miembros deben exigir que los miembros de los órganos de dirección de las entidades críticas reciban formación. También

deberían animar a las entidades críticas a impartir una formación similar a sus empleados de forma periódica, para que adquieran los conocimientos y habilidades necesarios para identificar los riesgos, evaluar las prácticas de gestión de riesgos de ciberseguridad y comprender su impacto en los servicios prestados por la entidad.

Notificación de incidentes

NIS2 incluye algunos de los requisitos más estrictos en materia de notificación de incidentes. Las organizaciones están obligadas a informar a las autoridades de los incidentes significativos en las 24 horas siguientes a su descubrimiento. No hacerlo puede acarrear sanciones, por eso es tan importante contar con un sólido proceso de detección y respuesta a incidentes. La notificación rápida y precisa es su mejor aliado mientras el reloj sigue corriendo.

Armonización en la UE

Uno de los principales objetivos de la NIS2 es armonizar la normativa de ciberseguridad en toda la UE. En teoría, esto significa que todos los Estados miembros seguirán las mismas normas, lo que facilitará el cumplimiento a las empresas que operan en varios países. Sin embargo, sigue habiendo problemas para armonizar las diferentes interpretaciones de la directiva en las distintas regiones.

Responsabilidad y gobernanza

La NIS2 impone una mayor responsabilidad a la alta dirección. Los ejecutivos no pueden limitarse a delegar la ciberseguridad en sus equipos informáticos y contentarse con eso. Se espera de ellos que participen en la supervisión de las políticas de ciberseguridad y garanticen su cumplimiento. En algunos casos, si una empresa incumple sus obligaciones, la alta dirección puede ser considerada personalmente responsable.

Seguridad de la cadena de suministro

Una de las partes más complicadas de la NIS2 es la relativa a la seguridad de la cadena de suministro. Las organizaciones deben evaluar y gestionar los riesgos de ciberseguridad que plantean los

proveedores externos. Esto no es tarea fácil, especialmente para las empresas que dependen de una compleja red de proveedores. Garantizar que sus socios son tan seguros como usted requerirá tiempo y recursos.

Multas y sanciones

La directiva también prevé una aplicación más estricta y sanciones más severas en caso de incumplimiento. Las empresas que no cumplan la normativa podrían enfrentarse a cuantiosas multas y a un daño reputacional aún mayor en caso de incidente cibernético. El cumplimiento no es opcional si quiere evitar estos riesgos.

Cómo cumplir la Directiva NIS2

No se trata de un reto imposible para ninguna empresa sujeta a la Directiva NIS2. Hay medidas que puede tomar para garantizar el cumplimiento y, lo que es más importante, para mejorar su posición general en materia de ciberseguridad. He aquí algunas buenas medidas a tener en cuenta:

• ✓ Aplicar medidas de gestión de riesgos, como evaluaciones de seguridad periódicas, cifrado y formación continua del personal.
• ✓ Asegúrese de que los incidentes se notifican a tiempo: disponga de un procedimiento sencillo para detectar, evaluar y notificar los incidentes a las autoridades a su debido tiempo.
• ✓ Céntrese en la gobernanza y la rendición de cuentas: haga de la ciberseguridad una prioridad para la alta dirección y asigne funciones de supervisión claras.
• ✓ Proteja su cadena de suministro evaluando las prácticas de seguridad de sus proveedores externos y asegurándose de que cumplen las normas necesarias.
• ✓ Desarrolle y pruebe planes de contingencia: disponga de un plan de continuidad de negocio que pruebe y actualice periódicamente para minimizar el tiempo de inactividad en caso de ataque
• ✓ Utilice herramientas específicamente diseñadas para facilitar el cumplimiento, ver www.kapres.es

La Directiva NIS2 es un paso importante para reforzar la ciberseguridad en la UE. Aunque los retos para las empresas son significativos, son manejables. Adoptando un enfoque proactivo en materia de ciberseguridad, las empresas pueden evitar sanciones y protegerse contra la creciente amenaza de los ciberataques.

Una plataforma integral de Gobierno, Riesgo y Cumplimiento ayuda a las organizaciones a gestionar el cumplimiento de NIS2 agilizando la notificación de incidentes, proporcionando formación en ciberseguridad y consolidando los procesos de gestión de riesgos. KAPRES puede ayudar a allanar el camino hacia el cumplimiento, haciendo que el proceso sea más fácil de gestionar. Si trabaja en un sector afectado por NIS2, ahora es el momento de empezar a prepararse.

Descubra cómo las soluciones KAPRES pueden ayudar a su empresa a cumplir los requisitos NIS2