Subir

Todo lo que debes conocer sobre la directiva NIS2

Collage de control de cumplimiento

Todos sabemos a estas alturas lo importante que es para las empresas proteger sus datos sensibles como información financiera, datos personales de clientes o proveedores, o propiedad intelectual.

También seguimos viendo cómo organizaciones de diversos sectores y tamaños sufren ciberataques a diario que resultan en grandes pérdidas financieras, bien por la interrupción de los servicios, por multas debido al incumplimiento de normativas o, incluso, por los costes elevados que implica la remediación.

En un contexto donde las ciberamenazas siguen avanzando cada día, la directiva NIS2 es una evolución de la NIS, que surge como una respuesta estructurada para abordar estos desafíos, estableciendo una serie de medidas mínimas que deben adoptar las empresas para proteger las infraestructuras críticas.

En este artículo, vamos a tratar de explicar de forma general qué es la directiva NIS2, cómo deben prepararse las empresas y qué implicaciones puede tener su incumplimiento. ¡Sigue leyendo!

La Directiva NIS2 (Network and Information Security 2) es una normativa de la Unión Europea diseñada para mejorar la ciberseguridad en los Estados miembros. Esta directiva es una evolución de la Directiva NIS original, fortaleciendo la resiliencia y la seguridad de las redes y sistemas de información en sectores críticos y servicios esenciales.

Objetivos principales de la Directiva NIS2

  • Fortalecer la seguridad de las redes y sistemas de información para minimizar vulnerabilidades y mejorar la preparación y capacidad de respuesta ante posibles incidentes de ciberseguridad.
  • Establecer un marco uniforme con estándares y requisitos comunes para todos los Estados miembro de la UE.
  • Ampliar los sectores y entidades esenciales que deben cumplir la normativa para asegurar que más organizaciones estén protegidas.
  • Mejorar el proceso de notificación de incidentes, estableciendo procedimientos claros y eficientes que permitan reducir los tiempos de respuesta y mejorar en la comunicación.

Ámbito de aplicación: sectores y tipos de organizaciones afectadas

La Directiva NIS2 amplía su alcance para incluir una gama más amplia de sectores y tipos de organizaciones que son considerados esenciales para el funcionamiento de la sociedad y la economía. Para determinar si una empresa está obligada a cumplir con la Directiva NIS2, hay varias condiciones y criterios específicos que deben considerarse:

Localización

Si ofrecen servicios o desarrollan actividades en cualquier país de la Unión Europea (con independencia de si tienen su sede en la UE o no).

Sector de la actividad

Sectores alta criticidad
Energía
Transporte
Banca
Infraestructura de los mercados financieros
Sector sanitario
Agua potable
Aguas residuales
Infraestructura digital
Gestión de servicios TIC (de empresa a empresa)
Entidades de la administración pública con exclusión del poder judicial, los parlamentos y los bancos centrales
Otros sectores críticos
Servicios postales y de mensajería
Gestión de residuos
Fabricación, producción y distribución de sustancias y mezclas químicas
Producción, transformación y distribución de alimentos
Fabricación de productos sanitarios y productos sanitarios para diagnóstico in vitro; fabricación de productos informáticos, electrónicos y ópticos; fabricación de material eléctrico; fabricación de maquinaria y equipo n.c.o.p; fabricación de vehículos a motor, remolques y semirremolques; fabricación de otro material de transporte.
Proveedores de servicios digitales

Tamaño y relevancia

El tamaño y la relevancia de la empresa también es importante. La mayoría de las grandes empresas de sectores críticos y esenciales están obligadas a cumplir con la NIS2.

Sin embargo, es importante tener en cuenta que, con independencia de su tamaño, cualquier entidad incluida en los sectores anteriormente mencionados que un Estado miembro identifique como esencial también debe cumplir la directiva NIS2. Es el caso, por ejemplo, de proveedores únicos de un servicio esencial o si se trata de una empresa crítica por su importancia específica a nivel nacional o regional.

Principales medidas de seguridad de la NIS2.

La normativa NIS2 establece una serie de medidas que las organizaciones incluidas en el ámbito de aplicación deben cumplir antes de la fecha límite del 17 de octubre de 2024.

Medidas técnicas y organizativas

  • Evaluación de Riesgos: realizar evaluaciones periódicas de los riesgos de ciberseguridad para identificar vulnerabilidades y amenazas.
  • Políticas de Seguridad: desarrollar y mantener políticas y procedimientos de seguridad que aborden la gestión de riesgos, la protección de datos y la respuesta a incidentes.
  • Controles de Acceso: implementar controles de acceso estrictos para garantizar que solo el personal autorizado tenga acceso a los sistemas y datos críticos.
  • Monitoreo y Detección: establecer sistemas de monitoreo continuo para detectar y responder a actividades sospechosas o no autorizadas.
  • Protección de Datos: asegurar la integridad, confidencialidad y disponibilidad de los datos mediante el uso de cifrado y otras tecnologías de protección de
  • Gestión de Incidentes: desarrollar y probar regularmente planes de respuesta a incidentes para garantizar una respuesta rápida y efectiva a los incidentes de ciberseguridad significativos, siendo este considerado como tal si:
    • Ha causado o puede causar graves perturbaciones operativas de los servicios o pérdidas económicas para la entidad afectada.
    • Ha afectado o puede afectar a otras personas físicas o jurídicas al causar perjuicios materiales o inmateriales considerables.

Obligaciones de notificación de incidentes

La notificación debe realizarse sin demora indebida y, en cualquier caso, dentro de las 24 horas siguientes a la detección del incidente, y debe incluir información detallada sobre la naturaleza del incidente, su impacto, las medidas adoptadas y cualquier otra información relevante.

Requisitos de cooperación y coordinación

Para fortalecer la ciberseguridad a nivel europeo, NIS2 promueve la cooperación y coordinación entre los Estados miembros y las organizaciones:

  • Intercambio de Información: Las organizaciones deben cooperar con las autoridades competentes y otros actores relevantes, compartiendo información sobre amenazas, vulnerabilidades e incidentes.
  • Participación en Redes de Cooperación: Las organizaciones deben participar en redes y foros de cooperación para intercambiar buenas prácticas y lecciones aprendidas en materia de ciberseguridad.
  • Apoyo mutuo: En caso de incidentes de gran envergadura, las organizaciones deben estar preparadas para prestar apoyo mutuo y colaborar en la mitigación de los efectos del incidente.

Impacto de la NIS2 en las empresas.

La adopción de la normativa NIS2 tendrá un impacto significativo en las empresas, especialmente aquellas que cuentan con una infraestructura menos preparada, ya que implicará llevar a cabo diversos cambios y adaptaciones, así como inversiones económicas y de recursos para su cumplimiento:

  • Las organizaciones deberán revisar y actualizar sus políticas de seguridad para que estén alineadas con los nuevos requisitos de la NIS2.
  • Implementar procedimientos específicos para la identificación, evaluación y mitigación de riesgos de ciberseguridad.
  • Desarrollar y probar regularmente planes de respuesta a incidentes que incluyan protocolos claros para la notificación y gestión de incidentes.
  • Invertir en tecnologías avanzadas de ciberseguridad para mejorar los sistemas de detección y prevención de intrusiones o sistemas de cifrado, entre otros.
  • Realizar evaluaciones periódicas de seguridad, incluyendo pruebas de penetración y auditorías de ciberseguridad.
  • Otro factor importante será la formación proporcionada de forma continua a los empleados sobre las mejores prácticas de ciberseguridad para mejorar la concienciación sobre los posibles peligros.

Consecuencias para las empresas que no cumplan con la normativa NIS2.

El incumplimiento de la normativa NIS2 puede tener consecuencias graves para las empresas, desde las sanciones impuestas por las autoridades hasta daños irreparables a la reputación.

Consecuencias financieras

La Directiva NIS2 marca unas directrices claras que las organizaciones deben seguir, autorizando a las autoridades correspondientes a imponer sanciones a las empresas que no cumplan con dichos requisitos, de forma proporcionada y disuasoria:

  • Un máximo de, al menos, 10.000.000 euros o hasta el 2% del volumen de negocios total anual a escala mundial de la empresa a la que pertenezca la entidad esencial en el ejercicio precedente, optándose por la de mayor cuantía.
  • Un máximo de, al menos, 7.000.000 euros o el 1,4% del volumen de negocios total anual a nivel mundial de la empresa a la que pertenece la entidad importante en el ejercicio precedente, optándose por la de mayor cuantía.

Consecuencias legales

Las empresas que no cumplan con NIS2 pueden enfrentarse a litigios y demandas de clientes, socios comerciales y otros afectados en caso de que se produzca un incidente de ciberseguridad. Esto puede resultar en costosos procedimientos legales. Además, si la empresa es considerada responsable por los daños y perjuicios causados por su incumplimiento de la normativa, también puede implicar compensaciones económicas a las partes afectadas.

Consecuencias operativas

Los incidentes de ciberseguridad y la falta de preparación y respuesta adecuada a estos puede resultar en:

  • Interrupciones significativas en las operaciones de la empresa, afectando a la continuidad del negocio y provocando pérdidas financieras.
  • Pérdida de datos críticos que pueden implicar un impacto en las operaciones de la empresa.

Consecuencias reputacionales

Si una empresa sufre un incidente de ciberseguridad debido al incumplimiento de la normativa NIS2 puede perder la confianza por parte de clientes, socios y proveedores. Además, dependiendo de la gravedad, este tipo de incidentes pueden atraer el interés mediático, lo que amplifica el daño reputacional y a la imagen pública de la empresa.

Cómo empezar a prepararse: pasos para cumplir con la NIS2.

La normativa NIS2 fue aprobada en noviembre de 2022 y entró en vigor en enero de 2023, dando de margen hasta el 18 de octubre de 2024 para su cumplimiento obligatorio. Sin embargo, aún son muchas las organizaciones que tienen dudas y no saben cuál debería ser su punto de partida. A continuación, vamos a proporcionar una serie de pasos que creemos que pueden servir como guía para facilitar esta transición a las empresas.

Paso 1: evaluación de riesgos

Realizar una evaluación de riesgos y auditoría de seguridad proporciona información a las empresas que les ayuda a identificar:

  • los activos críticos y esenciales para que la empresa pueda operar
  • posibles debilidades y vulnerabilidades en los sistemas y redes
  • amenazas potenciales, tanto internas como externas, que pueden afectar a los activos críticos

Paso 2: crear una hoja de ruta

Una vez realizada la evaluación de riesgos y auditorías de seguridad necesarias para identificar los puntos débiles y los problemas que debemos solventar, es importante crear un plan de acción donde se detalle qué acciones se van a llevar a cabo. Para establecer estas acciones se puede tener en cuenta la criticidad de estas, empezando por aquellas que son más importantes o que sabemos que su implantación llevará más tiempo.

Paso 3: establecer políticas de seguridad

Mejorar y adaptar las políticas y procedimientos de seguridad puede simplificar la forma en la que la empresa aborda la gestión de riesgos o la respuesta a posibles incidentes.

Paso 4: implementar tecnologías y soluciones avanzadas de ciberseguridad

Contar con un sistema de ciberseguridad avanzado permitirá:

  • Contar con controles de acceso estrictos que garanticen el acceso a los sistemas y datos críticos únicamente del personal autorizado.
  • Implementar sistemas de monitoreo continuo que faciliten la detección y la respuesta rápida ante actividades sospechosas.
  • Asegurar la integridad y confidencialidad de la información mediante el uso de sistemas de cifrado u otras tecnologías de protección de datos, a la vez que la información se encuentra disponible.

Paso 5: crear plan de respuesta a incidentes

Teniendo en cuenta la normativa NIS2, uno de los puntos clave es la capacidad que deben tener las empresas para responder y gestionar incidentes de seguridad de forma rápida y eficiente. Por ello, es fundamental establecer un plan de respuesta a incidentes que ayude a minimizar el impacto de los ciberataques y garantizar la continuidad del negocio. Este plan puede incluir:

  • Sistemas de monitoreo utilizados para la identificación temprana de amenazas.
  • Escalado interno y personas intervinientes en el proceso de reporte de incidentes dentro de la organización.
  • Qué acciones se van a llevar a cabo para contener el impacto del ataque y eliminar la amenaza.
  • Proceso para restablecer los sistemas que se hayan visto comprometidos.
  • Plantillas de documentación que se utilizarán para realizar un análisis detallado una vez haya pasado el incidente. Puede incluir la causa del incidente, lecciones aprendidas o ajustes necesarios.
  • Notificación a las autoridades, que debe realizarse sin demora indebida dentro de las 24 horas siguientes a la detección del incidente, y debe incluir información detallada sobre la naturaleza del incidente, su impacto, las medidas adoptadas y cualquier otra información relevante.

Paso 6: formación y concienciación al personal

Crea un plan de formación continua a los empleados sobre mejores prácticas de ciberseguridad, requisitos específicos de la NIS2 o casos reales de ciberataques. Esto es especialmente importante para los directivos, pues para la NIS2 es obligación para las empresas formarlos e involucrarlos en la gestión de riesgos.

Fuente: INCIBE

Lunia: tu socio tecnológico para el cumplimiento de la NIS2.

La normativa NIS2 representa un paso crucial hacia la mejora de la ciberseguridad en toda Europa, estableciendo un marco robusto y coherente para la protección de las redes y sistemas de información. Para las empresas, especialmente aquellas que operan en sectores críticos, cumplir con NIS2 no es solo una obligación legal, sino una oportunidad para fortalecer su postura de ciberseguridad. Pero sabemos que este proceso puede ser muy complejo, bien por falta de personal especializado, por falta de tiempo o por falta de recursos.

En Lunia contamos con un equipo de expertos en ciberseguridad que puede proporcionarte la orientación, las herramientas y las soluciones que necesitas para cumplir con la NIS2.

¡Contáctanos y te contamos cómo podemos ayudarte sin compromiso!