Compartir:
La Unión Europea ha dado un paso significativo en la armonización de las normativas de ciberseguridad con la entrada en vigor de la Directiva NIS2 en enero de 2023. Esta nueva legislación, que sustituye a la anterior Directiva NIS, tiene como objetivo elevar el nivel de seguridad en las redes y sistemas de información de los países miembros, unificando criterios y estableciendo medidas legales para fortalecer la resiliencia de infraestructuras críticas y servicios digitales.
Plazo de Transposición y Ámbito de Aplicación
Los Estados miembros tienen hasta el 17 de octubre de 2024 para transponer la directiva a sus legislaciones nacionales. La NIS2 afecta a 18 sectores, divididos en sectores de alta criticidad y sectores críticos. Entre los primeros se encuentran energía, transporte, banca, sanidad, agua potable y gestión de servicios TIC, entre otros. Los sectores críticos incluyen investigación, química, alimentación, fabricación, gestión de residuos y servicios postales.
La directiva distingue entre entidades esenciales e importantes. Las primeras pertenecen a sectores de alta criticidad y, en algunos casos, incluyen a proveedores de servicios digitales como registros de dominios y proveedores de DNS. Las entidades importantes son aquellas que, aunque pertenecen a sectores críticos, no son consideradas esenciales pero aún así deben cumplir con ciertas obligaciones de seguridad.
Obligaciones y Medidas de Seguridad
La NIS2 establece una serie de medidas que las organizaciones deben implementar:
- Gestión de riesgos: Las entidades deben adoptar medidas para gestionar y mitigar riesgos en sus redes y sistemas de información.
- Control de accesos: Implementación de autenticación multifactor y privilegios mínimos para garantizar la seguridad de los sistemas.
- Protección contra código malicioso: Medidas para detectar y prevenir ataques como ransomware y malware.
- Notificación de incidentes: Las entidades deben notificar cualquier incidente significativo de ciberseguridad en tres etapas:
- Notificación inicial: Dentro de las primeras 24 horas desde la detección del incidente.
- Notificación intermedia: A las 72 horas, con una actualización del estado y primeras evaluaciones.
- Notificación final: Dentro de un mes, con un informe detallado del incidente, sus causas y medidas adoptadas.
El incumplimiento de estas obligaciones puede resultar en sanciones económicas considerables. Para entidades esenciales, las multas pueden llegar hasta 10 millones de euros o el 2% de los ingresos anuales. Para entidades importantes, hasta 7 millones de euros o el 1,4% de los ingresos anuales.
Apoyo y Recursos para el Cumplimiento
El Centro Criptológico Nacional (CCN) ha habilitado un servicio de consultas para resolver dudas relacionadas con la implementación de la NIS2 en España. Las organizaciones pueden contactar a través del correo [email protected]. Además, el CCN ha publicado la guía CCN-STIC 892, que ofrece un perfil de cumplimiento específico para entidades afectadas por la directiva, alineado con el Esquema Nacional de Seguridad (ENS).
En resumen
La Directiva NIS2 representa un esfuerzo conjunto de la Unión Europea para fortalecer la ciberseguridad en todos sus Estados miembros. Las empresas y organizaciones deben prepararse para cumplir con estas nuevas obligaciones, adoptando medidas proactivas de seguridad y estableciendo protocolos efectivos de respuesta a incidentes. La fecha límite de octubre de 2024 se acerca rápidamente, y el cumplimiento de la directiva no solo es una obligación legal, sino también una inversión en la resiliencia y confianza digital de las organizaciones.