En el dinámico y cada vez más digitalizado entorno europeo, la ciberseguridad ha emergido como una prioridad crítica. Con el objetivo de fortalecer la seguridad de las redes y sistemas de información, la Unión Europea ha implementado la Directiva NIS 2 (Network and Information Security), también conocida como la Directiva (UE) 2022/2555. Esta normativa establece una serie de obligaciones para garantizar un elevado nivel común de ciberseguridad en todos los Estados miembros. En este artículo, exploraremos los aspectos clave de la Directiva NIS 2 y su impacto en las empresas.
¿Qué es la Directiva NIS 2?
La Directiva NIS 2 es una revisión de la Directiva NIS original, diseñada para fortalecer y ampliar las medidas de ciberseguridad en la Unión Europea. Esta normativa entró en vigor el 16 de enero de 2023, afectando a todos los países miembros de la UE. Desde el 17 de enero de 2023, ha comenzado el periodo en el que los Estados miembros deben adaptar la Directiva NIS 2 a su legislación nacional, proceso que debe completarse antes del 17 de octubre de 2024. El objetivo principal de esta directiva es asegurar que las redes y sistemas de información sean seguros y capaces de resistir las crecientes amenazas cibernéticas.
Sectores y Entidades Afectadas
La Directiva NIS 2 aplica a una amplia gama de sectores, divididos en dos categorías principales:
1) Sectores de Alta Criticidad: Incluyen empresas de sectores esenciales como:
-
- Sector energético: Gas, electricidad y crudo, el subsector de operadores de producción, almacenamiento y transporte de hidrógeno y los sistemas urbanos de calefacción y refrigeración.
- Transporte: Aéreo, Ferrocarril, Marítimo y fluvial y Carretera.
- Banca
- Infraestructura de los mercados financieros.
- Sector sanitario: incluye laboratorios de referencia de la UE, entidades que realizan actividades de investigación y desarrollo de medicamentos, empresas que fabrican productos farmacéuticos de base y especialidades farmacéuticas y empresas que fabrican productos sanitarios que se consideran esenciales en situaciones de emergencia de salud pública.
- Agua potable.
- Aguas residuales.
- Sector de infraestructuras digitales: incluyendo proveedores de redes de servicios de computación en la nube, proveedores de distribución de contenidos, prestadores de servicios de confianza, proveedores de servicios de centro de datos y proveedores de redes públicas de comunicaciones electrónicas, así como servicios de comunicaciones electrónicas disponibles para el público.
- Sector de gestión de servicios de TIC (de empresa a empresa), con dos tipos de entidades: los proveedores de servicios gestionados y los proveedores de servicios de seguridad gestionados.
- Sector de entidades de la Administración pública central y regional, con exclusión del poder judicial, los parlamentos y los bancos centrales.
- Sector espacio, con los operadores de infraestructuras terrestres que apoyan la prestación de servicios espaciales, salvo que sean proveedores de redes públicas de comunicaciones electrónicas.
2) Otros Sectores Críticos: Abarcan sectores adicionales que, aunque no son considerados de alta criticidad, siguen siendo vitales para la infraestructura europea como:
- Sector de servicios postales y de mensajería.
- Sector gestión de residuos.
- Sector de fabricación, producción y distribución de sustancias y mezclas químicas.
- Sector de producción, transformación y distribución de alimentos.
- Sector de fabricación, cuyos subsectores abarcan la fabricación de productos sanitarios y productos sanitarios para diagnóstico in vitro, fabricación de productos informáticos electrónicos y ópticos, fabricación de material eléctrico, fabricación de maquinaria y equipo n.c.o.p, fabricación de vehículos de motor, remolques y semirremolque, así como la fabricación de otro material de transporte.
- Organismos de investigación, incluyendo, solo cuando los Estados miembros lo dispongan, centros de enseñanza, si llevan a cabo actividades críticas de investigación.
- Proveedores de servicios digitales, que incorporan como novedad a los proveedores de plataformas de servicios de redes sociales, además de los ya existentes en la NIS1 (proveedores de mercados en línea y de motores de búsqueda en línea), salvo los proveedores de servicios cloud que son ahora considerados Infraestructuras digitales.
Además, la Directiva distingue entre:
- Entidades Esenciales: Empresas pertenecientes a sectores de alta criticidad, prestadores cualificados de servicios de confianza, proveedores de servicios de DNS, proveedores de redes públicas de comunicaciones electrónicas, y entidades de la administración pública.
- Entidades Importantes: Empresas de sectores de alta criticidad y otros sectores críticos que no se consideran entidades esenciales.
Obligaciones de la Directiva NIS 2
Las entidades afectadas deben cumplir con varias obligaciones específicas para gestionar los riesgos de ciberseguridad, que incluyen:
- Requisitos de Seguridad: Implementar medidas técnicas, operativas y organizativas adecuadas para gestionar los riesgos de seguridad.
- Notificación de Incidentes: Cumplir con plazos claros y estrictos para la notificación de incidentes de seguridad.
- Intercambio de Información: Facilitar el intercambio de información relevante sobre ciberseguridad.
- Supervisión y Ejecución: Asegurar que los Estados miembros supervisen y hagan cumplir estas medidas.
Cooperación y Coordinación
La Directiva NIS 2 promueve una mayor cooperación y coordinación entre los Estados miembros de la UE mediante:
- Adopción de Estrategias de Ciberseguridad: Cada Estado miembro debe adoptar una estrategia nacional de ciberseguridad.
- Autoridades Competentes y Puntos de Contacto: Designar autoridades competentes y puntos de contacto únicos para gestionar la ciberseguridad.
- Equipos de Respuesta a Incidentes (CSIRT): Establecer equipos de respuesta a incidentes de seguridad informática.
Además, se han creado organismos como la Red Europea de Organización de Enlace de Crisis Cibernéticas (EU-CYCLONe) y la Agencia de la Unión Europea para la Ciberseguridad (ENISA) para apoyar estos esfuerzos.
Impacto en las Empresas
La Directiva NIS 2 tiene un impacto significativo en las empresas medianas y grandes, requiriendo que implementen medidas de seguridad robustas y proactivas. Las empresas deben formar a su personal en ciberseguridad, adoptar enfoques proactivos para la gestión de riesgos, y estar preparadas para notificar incidentes de manera oportuna.
Multas y Sanciones
El incumplimiento de la Directiva NIS 2 puede resultar en sanciones significativas. A partir de octubre de 2024, las empresas que no cumplan con la normativa se enfrentarán a las siguientes sanciones:
- Entidades Esenciales:
- Hasta 10.000.000 € ó
- Un máximo del 2% del volumen de negocio anual total a nivel mundial del ejercicio financiero anterior.
- Entidades Importantes:
- Hasta 7.000.000 € ó
- Un máximo del 1.4% del volumen de negocio anual total a nivel mundial del ejercicio financiero anterior.
Los Estados miembros tienen como fecha límite el 17 de enero de 2025 para comunicar el régimen de sanciones aplicables por incumplimiento a la Comisión Europea.
Recuerda…
La Directiva NIS 2 representa un paso fundamental hacia un entorno digital más seguro y resiliente en Europa. Al fortalecer los requisitos de seguridad y ampliar su alcance, la UE está mejor preparada para enfrentar las ciberamenazas modernas. Para las empresas, cumplir con esta directiva no solo es una obligación legal, sino también una oportunidad para mejorar su resiliencia y competitividad en un mundo cada vez más digitalizado.
En AELIS, estamos comprometidos a ayudar a las empresas a navegar por estos desafíos y a implementar las mejores prácticas en ciberseguridad. Si deseas obtener más información sobre cómo tu empresa puede adaptarse a la Directiva NIS 2, ¡no dudes en contactarnos! Podemos ayudarte a cumplir con esta normativa y asegurar que tu empresa esté protegida contra amenazas cibernéticas.
