La Directiva sobre Seguridad de las Redes y los Sistemas Informáticos NIS2 de la Unión Europea crea un nuevo estándar de ciberseguridad corporativa. Esto es, sobre medidas de ciberseguridad para garantizar que las redes y los sistemas de información de las empresas se mantengan protegidos frente a las ciberamenazas.
Qué empresas se ven afectadas
La nueva Directiva NIS2 afecta a todas las medianas y grandes empresas de los siguientes sectores calificados de esenciales o importantes: energía; transporte; banca; infraestructuras de mercados financieros; sector sanitario; agua potable; aguas residuales; infraestructura digital; gestión de servicios TIC; espacio; servicios postales y de mensajería; gestión de residuos; fabricación, producción y distribución de sustancias y mezclas químicas; producción, transformación y distribución de alimentos; proveedores de servicios digitales; investigación; y fabricación de productos sanitarios, informáticos, electrónicos y ópticos, material eléctrico, maquinaria, vehículos de motor y material de transporte.
Objetivos de la Directiva de Ciberseguridad NIS2
La Directiva de Ciberseguridad NIS2 se basa en la anterior Directiva NIS1 aprobada en 2016. Su objetivo final es fortalecer las capacidades de las organizaciones que operan en la UE y que cumplen funciones críticas para la sociedad y la economía. Para ello, se ha propuesto:
- Reducir las inconsistencias al abordar las amenazas de ciberseguridad;
- Aumentar la conciencia sobre la ciberseguridad;
- Mejorar la capacidad de las organizaciones para responder a los incidentes.
Personas, procesos y tecnología
Cuando entre en vigor la Directiva NIS2, miles de empresas tendrán que implantar de forma proactiva una serie de medidas en materia de, entre otros: políticas de seguridad de los sistemas de información y análisis de riesgos, gestión de incidentes, gestión de copias de seguridad, gestión de crisis, seguridad de la cadena de suministro, mantenimiento de sistemas de redes y de información, ciberhigiene, formación en ciberseguridad, políticas de control de acceso, etc
El cumplimiento de la Directiva NIS2 no solo implica al departamento TIC o al CISO (Chief Information Security Officer). Tampoco basta con adquirir nuevas tecnologías que hagan frente a los diberataques. Porque para cumplir con la NIS2 es necesario construir una cultura de seguridad que afecte a toda la organización. Es decir, se trata de que las empresas cuenten con mejores prácticas de ciberseguridad y con una cultura general que llegue a todos y cada uno de los miembros de la organización.
Por eso cada requisito de la Directiva NIS2 se reparte en tres categorías: personas, procesos y tecnología.
Personas
Ofrecer a toda la plantilla formación en ciberseguridad desde su misma entrada en la empresa garantiza que la ciberseguridad sea siempre una prioridad. Pero no hay que limitar esta exigencia a los miembros de la organización. También los socios deben cumplir estos requisitos.
Procesos
Los procesos de ciberseguridad deben evolucionar constantemente para adelantarse a los ciberdelincuentes.
Tecnología
La empresa debe asegurarse de contar con la tecnología adecuada para defenderse de cualquier amenaza. Por lo tanto, la infraestructura necesaria debe crecer al mismo ritmo que las empresas. Ya que su expansión crea nuevos riesgos, y más elementos que se deben proteger.
Calendario de aplicación
Los estados miembros de la UE tienen hasta el 17 de octubre de 2024 para transponer las regulaciones NIS2 a su legislación nacional. Así pues, miles de empresas deberán adoptar este mismo año medidas para aumentar su resiliencia y capacidad de respuesta ante incidentes de ciberseguridad.
El cumplimiento de la nueva regulación puede suponer un desafío. Sin embargo, las empresas que prioricen la ciberseguridad ahora estarán mucho mejor preparadas para defenderse contra las amenazas de seguridad actuales y emergentes y acelerar su crecimiento. Por otra parte, los costes del incumplimiento de la Directiva podrían ser multas, daños a la reputación y pérdida de clientes.
Para el cumplimiento de la Directiva NIS2 es necesaria una coordinación total entre los departamentos de TI, ciberseguridad, gestión de riesgos y legal. Por este motivo te recomendamos que confíes en Confianz para asesorarte en la implantación de esta normativa compleja que puede ser clave para el futuro de tu empresa.