La Directiva NIS2 es un conjunto de directrices y requisitos de ciberseguridad recientemente publicados y establecidos por la Unión Europea (UE) para mejorar el nivel general de ciberseguridad en todos sus Estados miembros. La directiva se publicó en el Diario Oficial de la UE el 27 de diciembre de 2022, dando a los Estados miembros 21 meses, hasta septiembre de 2024, para transponerla a la legislación nacional.
La Directiva NIS2 pretende mejorar la resistencia y la capacidad de respuesta ante incidentes de los sectores público y privado, así como de la UE en su conjunto. Sustituye a la anterior Directiva sobre seguridad de las redes y sistemas de información (Directiva SRI) e introduce varios cambios, como la ampliación del ámbito de aplicación para abarcar más sectores y servicios y la actualización de las obligaciones de seguridad y los requisitos de notificación de incidentes para que sean más estrictos. NIS2 también pretende reducir la carga normativa para las autoridades competentes y los costes de cumplimiento para las entidades públicas y privadas.
Uno de los cambios significativos introducidos por NIS2 es la obligación de notificar una pérdida en un plazo de 72 horas, lo que permite a las autoridades reaccionar rápidamente y contener la amenaza cibernética. La directiva también otorga poderes más amplios a las autoridades competentes, permitiéndoles sancionar a las organizaciones incumplidoras con multas equivalentes a una cantidad fija o al 2% del volumen de negocios mundial de los servicios esenciales.
La Directiva NIS2 surgió de un proceso de revisión integrado en la Directiva NIS original, que abordaba las deficiencias detectadas en la legislación original. Tras el acuerdo provisional sobre la directiva a mediados de mayo de 2022, el texto se ultimó a nivel técnico, lo que significa que los juristas lingüistas trabajaron en los detalles y la coherencia del texto que se publicó en diciembre de 2022.
En resumen, la Directiva NIS2 es una actualización significativa de la normativa de ciberseguridad de la UE, cuyo objetivo es mejorar la postura general de ciberseguridad en todos los Estados miembros. Amplía el ámbito de aplicación de la anterior Directiva SRI, introduce obligaciones de seguridad y requisitos de notificación de incidentes más estrictos, y otorga mayores poderes a las autoridades competentes. La directiva ofrece una valiosa oportunidad a los responsables de seguridad de la información (CISO) para reforzar su posición en las organizaciones y garantizar el cumplimiento de los requisitos actualizados.
La Directiva NIS2, que actualiza la normativa de ciberseguridad de la UE, tiene implicaciones tanto para los Directores de Seguridad de la Información (CISO) como para los Directores de Tecnología (CTO).
Para los CISO, la Directiva NIS2 ofrece la oportunidad de reforzar su posición dentro de las organizaciones garantizando el cumplimiento de las obligaciones de seguridad actualizadas y los requisitos de notificación de incidentes. Los CISO tendrán que adaptar las estrategias y prácticas de seguridad de sus organizaciones para alinearse con la nueva normativa, así como garantizar la notificación adecuada de incidentes en el plazo de 72 horas. Además, los CISO deberán mantener una estrecha comunicación con las autoridades competentes designadas por la Directiva NIS2, como ANSSI en Francia, BSI en Alemania y CCB en Bélgica.
Para los directores de tecnología, la Directiva NIS2 afecta a su papel en la supervisión del desarrollo y la aplicación de soluciones tecnológicas para cumplir los requisitos actualizados de ciberseguridad. Los directores de tecnología deben asegurarse de que la infraestructura tecnológica de sus organizaciones cumple la nueva normativa y es capaz de satisfacer las obligaciones de seguridad más estrictas. Además, los CTO deben colaborar con los CISO y otras partes interesadas de la organización para desarrollar y aplicar estrategias que aborden las posibles vulnerabilidades y riesgos.
En resumen, la Directiva NIS2 tiene implicaciones tanto para los CISO como para los CTO. Los CISO tendrán que garantizar el cumplimiento de las obligaciones de seguridad actualizadas, los requisitos de notificación de incidentes y mantener la comunicación con las autoridades competentes. Los CTO serán responsables de supervisar el desarrollo y la implantación de soluciones tecnológicas que cumplan la nueva normativa y respalden las estrategias de ciberseguridad de las organizaciones.
La Directiva NIS2 tiene implicaciones tanto para los directores generales como para los miembros de los consejos de administración, ya que son responsables de garantizar que sus organizaciones cumplan los requisitos actualizados de ciberseguridad y adopten las medidas de seguridad necesarias.
Para los directores generales, la Directiva NIS2 significa que deben asegurarse de que sus organizaciones abordan y aplican los siete elementos especificados en el reglamento. Estos elementos incluyen el análisis de riesgos y las políticas de seguridad de los sistemas de información, la gestión de incidentes, la continuidad de las actividades y la gestión de crisis, y la seguridad de la cadena de suministro. Los directores generales deben trabajar en estrecha colaboración con sus CISO, CTO y otros altos ejecutivos para desarrollar y ejecutar estrategias para cumplir con la directiva, así como asignar los recursos adecuados para cumplir con las nuevas obligaciones de seguridad.
Para los miembros del consejo de administración, la Directiva NIS2 les exige mantener un alto nivel de concienciación y comprensión de la postura y los riesgos de ciberseguridad de la organización. Los miembros del Consejo deben asegurarse de que las políticas de gestión de riesgos y ciberseguridad de la organización están en consonancia con la Directiva NIS2 y de que están supervisando activamente los esfuerzos de la organización para cumplir con los nuevos requisitos. También deben trabajar con el director general y los altos ejecutivos para desarrollar y supervisar las estrategias de ciberseguridad, garantizando que la organización esté preparada para hacer frente a posibles vulnerabilidades y responder eficazmente a los incidentes.
En resumen, la Directiva NIS2 tiene implicaciones tanto para los directores generales como para los miembros de los consejos de administración. Los consejeros delegados deben asegurarse de que sus organizaciones abordan y aplican las medidas de seguridad exigidas, mientras que los miembros del consejo de administración deben mantener la supervisión de la postura de ciberseguridad de la organización y los esfuerzos para cumplir con la nueva normativa. Tanto los directores generales como los miembros de los consejos de administración deben colaborar con los altos ejecutivos y otras partes interesadas para desarrollar y aplicar estrategias que garanticen el cumplimiento de la Directiva NIS2.
La Directiva NIS2 también tendrá importantes repercusiones para las pequeñas y medianas empresas (PYME) de toda Europa. ¿Qué deben saber las PYME?
La Directiva NIS2 es un nuevo conjunto de obligaciones de ciberseguridad para las organizaciones de muchos sectores considerados críticos para la economía. Los 27 Estados miembros de la UE deben incorporar estas nuevas obligaciones a sus legislaciones nacionales antes de septiembre de 2024. La Directiva NIS2 tiene por objeto aumentar la resistencia cibernética de una amplia gama de empresas con sede en la UE que operan en todos los sectores pertinentes y realizan actividades esenciales.
En cuanto a lo que la Directiva NIS2 significa específicamente para las PYME, es una tarea difícil y costosa garantizar el cumplimiento de los nuevos requisitos. Las PYME pueden tener dificultades para aplicar estas obligaciones de ciberseguridad debido a sus limitados recursos y conocimientos, por lo que deberían contratar a un proveedor de servicios gestionados (MSP) adecuado para que les oriente y ayude con las posibles soluciones.
Es importante señalar que el impacto exacto de la Directiva NIS2 en las PYME puede variar en función del sector y de los requisitos específicos que se les apliquen. Sin embargo, en general, se espera que las PYME tengan que invertir en medidas de ciberseguridad para cumplir la Directiva NIS2 y garantizar la protección de sus datos y sistemas.
PREGÚNTEME cómo SDWAN y SASE Solutions pueden ayudar a su empresa a mejorar sus defensas de ciberseguridad, con nuestros productos, servicios y soluciones de red y seguridad líderes del sector.