La Directiva NIS2, adoptada por la Unión Europea como Directiva (UE) 2022/2555, amplía y refuerza los requisitos de ciberseguridad, respondiendo a la creciente necesidad de proteger infraestructuras críticas y servicios digitales esenciales. Esta normativa introduce un enfoque más integral, ampliando el número de sectores cubiertos y exigiendo una gestión de riesgos más rigurosa para todas las organizaciones que entren en su ámbito de aplicación.
Cambios Principales en la NIS2
La nueva directiva se destaca por ampliar su alcance a más empresas e industrias, que ahora deberán cumplir con una serie de requisitos fundamentales, incluyendo la obligación de:
- Evaluar y gestionar riesgos cibernéticos en toda su cadena de suministro.
- Capacitar en ciberseguridad a todos los empleados y realizar auditorías de seguridad periódicas.
- Establecer responsabilidad directa de la dirección por los daños resultantes del incumplimiento de la normativa.
Además, NIS2 introduce sanciones significativas, hasta 10 millones de euros o el 2% de la facturación anual global, en caso de incumplimiento para empresas esenciales, y establece plazos estrictos para la notificación de incidentes de ciberseguridad.
Expansión del Alcance y las Entidades Afectadas
NIS2 elimina la antigua división entre Operadores de Servicios Esenciales y Proveedores de Servicios Digitales, para centrarse en todas las empresas medianas y grandes de sectores clave (críticos y esenciales). La directiva cubre a partir de 2024 infraestructuras críticas de energía, salud, transporte, infraestructuras digitales y suministro de agua, entre otros sectores. En términos de tamaño, afecta a empresas con más de 50 empleados o una facturación anual mínima de 10 millones de euros.
Responsabilidad y Formación de la Dirección
Se establece la responsabilidad de los equipos de gestión y CISO (Chief Information Security Officer) para aprobar e implementar medidas adecuadas de ciberseguridad. Además, la directiva obliga a una formación continua en esta área para el personal clave, asegurando que se mantengan actualizados en prácticas de seguridad.
Requisitos Técnicos y Medidas de Ciberseguridad
Las empresas deberán adoptar medidas técnicas y organizativas, incluyendo:
- Políticas de seguridad y análisis de riesgos, con especial atención a la cadena de suministro.
- Control de acceso y autenticación multifactor (MFA).
- Prevención de ciberataques y recuperación ante desastres mediante sistemas de continuidad de negocio.
- Cifrado y políticas de seguridad en el desarrollo y mantenimiento de sistemas.
Hacia una Ciberseguridad Proactiva
Además, NIS2 fomenta un enfoque colaborativo y proactivo, promoviendo el intercambio de información sobre amenazas y vulnerabilidades para facilitar una respuesta rápida a incidentes.
La Directiva NIS2 establece un nuevo estándar en ciberseguridad, con un alcance ampliado y requisitos más estrictos que impulsarán la seguridad en toda la Unión Europea, especialmente para empresas en sectores críticos y aquellas medianas y grandes.
