Petri Alonso, directora de área Sector Privado de Grupo Oesía

Opinión

NIS2: La ciberseguridad europea se refuerza a partir de octubre

Directora de área Sector Privado de Grupo Oesía.

Guardar

La Directiva NIS2 obliga a una adecuada gestión de los riesgos de ciberseguridad.
La Directiva NIS2 obliga a una adecuada gestión de los riesgos de ciberseguridad.

El 17 de octubre de 2024 marcará un punto de inflexión en las medidas de ciberseguridad en la Unión Europea. Con la transposición de la Directiva NIS2 (Directiva 2022/2555), las organizaciones, tanto públicas como privadas, se verán obligadas a reforzar sus estrategias de ciberseguridad.

Qué es NIS2

NIS2 es una directiva de la Unión Europea que establece los requisitos de ciberseguridad que deben cumplir los Estados Miembro de la UE.

NIS2 se basa en la anterior Directiva 2016/1148 (NIS1). Con la aceleración de la transformación digital de la sociedad, aquel texto normativo había quedado obsoleto, por lo que requería de una actualización y fortalecimiento de las medidas que contemplaba. Así la NIS1 quedará derogada y será sustituida por NIS2.

El objetivo de esta directiva europea es garantizar la seguridad de las redes y la información en sectores críticos, y tiene implicaciones significativas para la responsabilidad corporativa y el cumplimiento regulatorio. Esta nueva directiva viene a reforzar la resiliencia digital de la Unión Europea, asegurando que los servicios esenciales puedan operar de manera segura en un entorno cada vez más amenazado por ciberataques.

Además de reforzar los requisitos de ciberseguridad exigibles a las entidades, la directiva NIS2 establece con mayor precisión cómo debe ser el proceso de notificación de incidentes, contempla la securización de la cadena de suministros y las relaciones con proveedores e instaura una red europea de soporte de crisis (EU-CYCLONe), entre otras medidas.

A quién afecta y cómo debemos prepararnos

NIS2 no solo concierne a las infraestructuras críticas clásicas (energía, agua, transportes, salud) sino que también incluye nuevos sectores como los proveedores de servicios digitales, el sector agroalimentario, los servicios postales, la gestión de residuos, o la investigación, producción y distribución de productos químicos, entre otros.

NIS2 representa, por tanto, un paso crucial para reforzar la ciberseguridad en la Unión Europea, ya que su alcance va más allá de los sectores críticos tradicionales y de las grandes corporaciones. Con NIS2, la aplicación de los más altos estándares de ciberseguridad se extiende a medianas y grandes empresas, así como a otros sectores clave de la economía, tanto públicas como privadas. De esta forma, la nueva directiva afecta a prácticamente cualquier empresa que opere en los sectores de la salud, la energía, el transporte, el agua y otras industrias esenciales, como las infraestructuras digitales, la banca, los seguros y administraciones públicas.

En realidad, NIS2 va un paso más allá y deberá aplicarse a casi cualquier actor que juegue un rol clave en la economía o la sociedad, lo que significa que incluso las pequeñas empresas que operen en sectores estratégicos no estarán exentas de aplicar NIS2.

Así pues, las entidades a las que les aplique NIS2 deberán implementar medidas técnicas, operativas y organizacionales para gestionar los riesgos de ciberseguridad de forma proactiva. Estas medidas incluyen la protección de redes y sistemas de información, así como el entorno físico en el que operan. Además, la Directiva establece la necesidad de prevenir o minimizar las repercusiones de posibles incidentes en los destinatarios de los servicios esenciales e importantes.

NIS2 impone un enfoque integral hacia la gestión del riesgo cibernético, con un impacto comparable al Reglamento General de Protección de Datos (RGPD) en 2018. En este sentido, cabe señalar que aunque la implementación del RGPD generó incertidumbre, hoy en día está completamente integrada en el funcionamiento diario de las empresas. Se espera que lo mismo ocurra con NIS2, que redefinirá las obligaciones de ciberseguridad, asegurando el fortalecimiento de la seguridad cibernética en la Unión Europea.

Y si el ámbito de aplicación de NIS2 es importante por su amplitud, tanto o más lo es el hecho de que la responsabilidad sobre su aplicación recaerá directamente en las empresas y sus órganos directivos, que podrán enfrentarse a sanciones severas en caso de incumplimiento. Una vez haya entrado en vigor, los estados miembros de la UE estarán facultados para suspender parcial o totalmente las actividades de las organizaciones, imponer multas de hasta 10 millones de euros o el 2% de su facturación global y hasta inhabilitar a los directivos de sus funciones en caso de incumplimiento.

Así pues, la Directiva NIS2 marca un hito en la ciberseguridad europea, ampliando el espectro de entidades responsables y aumentando los requisitos para adoptar medidas más robustas, necesarias en el entorno cada vez más retador en el que vivimos. Su cumplimiento será clave para asegurar la continuidad de las operaciones en un mundo cada vez más digitalizado. Por tal motivo, las empresas y organizaciones de prácticamente todos los sectores y tamaños deben actuar con antelación, ya que el impacto de esta Directiva será inevitable y transformador.