A medida que las amenazas cibernéticas continúan creciendo, Europa, con su economía altamente digitalizada, se ha convertido en un objetivo principal. De hecho, el número de ciberataques contra empresas europeas ha alcanzado niveles sin precedentes, con un aumento del 108 % en los ataques contra sectores clave desde 2020. Para combatir esta alarmante tendencia, el Parlamento Europeo presentó NIS2, una nueva directiva sobre ciberseguridad destinada a fortalecer la ciberseguridad. -resiliencia de la Unión.
NIS2 trae requisitos más estrictos y un enfoque renovado en la gestión de riesgos y la respuesta a incidentes, cambiando para siempre la forma en que las empresas de la UE abordan la ciberseguridad. En esta publicación de blog, profundizaremos en las implicaciones de gran alcance de NIS2 para la ciberseguridad europea y brindaremos información esencial para ayudar a las empresas a adaptarse y prosperar en este nuevo panorama regulatorio.
Desempaquetando la directiva NIS2
NIS2, abreviatura de Network and Information Security Directive, es una nueva directiva europea de ciberseguridad destinada a mejorar la ciberseguridad en la Unión Europea. Adoptada y con entrada en vigor el 16 de enero de 2023, la directiva define nuevos requisitos de ciberseguridad para organizaciones clasificadas como infraestructuras críticas.
Sobre la base de su predecesor NIS1, que se adoptó en 2016, NIS2 amplía su cobertura para incluir sectores como la energía, el transporte, la salud, las finanzas, la administración pública, el suministro de agua y muchos otros. Mientras que la directiva anterior se centraba únicamente en los denominados servicios esenciales y proveedores de servicios digitales, NIS2 elimina esta distinción y, en cambio, divide las entidades en cuestión en dos categorías: entidades esenciales y entidades significativas, donde el tamaño, la función/el sector social y el volumen de negocios anual son decisivos. factor determinante si NIS2 se aplica a una determinada organización.
Además, NIS2 fortalece los requisitos para la gestión de riesgos, la notificación de incidentes y la cooperación entre los estados miembros de la UE en caso de incidentes cibernéticos. En general, NIS2 representa un importante paso adelante en la regulación europea de ciberseguridad, y las organizaciones que se encuentran dentro de su alcance deben tomar nota de los nuevos requisitos para garantizar el cumplimiento.
Cómo afectará NIS2 a la ciberseguridad de la UE
Se espera que NIS2 tenga un impacto significativo en la ciberseguridad de la UE al imponer medidas de seguridad de gran alcance para mejorar la gestión de riesgos y las prácticas de respuesta a incidentes, fortaleciendo la supervisión regulatoria e introduciendo un elemento sin precedentes de cumplimiento de la gestión de responsabilidad. Estas son algunas de las formas en que NIS2 cambiará la ciberseguridad de la UE:
Nuevos requisitos de ciberseguridad para las empresas:
- NIS2 introduce un conjunto de 10 medidas mínimas que la organización debe implementar para gestionar el riesgo, incluidas medidas como el control de acceso, la gestión de incidentes y la gestión de la continuidad del negocio.
- Las empresas deben realizar la diligencia debida de seguridad de la cadena de suministro para garantizar que los proveedores externos también cumplan con los estándares de seguridad NIS2.
- Los informes de alerta temprana deben enviarse dentro de las 24 horas posteriores a un incidente.
Mayor enfoque en la gestión de riesgos y la respuesta a incidentes:
- Las empresas deben desarrollar planes de respuesta a incidentes que cubran varios escenarios y realizar evaluaciones de seguridad periódicas para identificar vulnerabilidades y debilidades.
- La notificación de incidentes a las autoridades pertinentes es obligatoria y debe incluir toda la información pertinente, como el alcance y el impacto del incidente, los sistemas y datos afectados, y las medidas adoptadas para contener y mitigar el incidente.
Mayor supervisión y cumplimiento regulatorio:
- Las autoridades nacionales designadas serán responsables de garantizar el cumplimiento de la Directiva mediante auditorías e inspecciones.
- Las autoridades tendrán la facultad de solicitar información, realizar investigaciones e imponer multas o sanciones por incumplimiento.
Responsabilidad civil de los órganos de administración:
- Los órganos de dirección, incluidos los directores y altos directivos, pueden ser considerados personalmente responsables de los incidentes de ciberseguridad que resulten de su falta de implementación de medidas de seguridad o de respuesta adecuada a una ciberamenaza.
- Esto significa que pueden rendir cuentas y enfrentar consecuencias legales o financieras por sus acciones o inacciones relacionadas con la ciberseguridad.
- El requisito de responsabilidad personal tiene como objetivo alentar a los órganos de gestión a tomarse en serio la ciberseguridad y priorizar la implementación de medidas de seguridad adecuadas para proteger los datos personales de los ciudadanos de la UE.
NIS2 y empresas de la UE: implicaciones y oportunidades
El impacto general de NIS2 en las empresas de la UE será masivo.
Con unas 160.000 entidades afectadas en 15 sectores diferentes, las organizaciones de infraestructuras críticas de toda Europa tendrán que hacer frente a esta nueva realidad normativa.
Además, cualquier proveedor externo que brinde servicios a estas organizaciones también debe cumplir con los nuevos requisitos, lo que multiplica la cantidad real de empresas afectadas. Además de la seriedad de este importante cambio de política, los equipos de alta gerencia se verán obligados a incluir la ciberseguridad en la agenda de la junta debido a la introducción sin precedentes de la responsabilidad ejecutiva de cumplimiento, que hace que los órganos de administración sean personalmente responsables por el incumplimiento.
Sin duda, estos cambios conducirán a mayores inversiones en seguridad cibernética, asesoramiento sobre cumplimiento y capacitación relevante en seguridad cibernética, a medida que las juntas directivas se den cuenta de las consecuencias legales potencialmente devastadoras de la negligencia y el incumplimiento.
NIS2 será un control de la realidad para las organizaciones que han fallado en sus esfuerzos de seguridad. La Directiva marcará el comienzo de un nuevo estándar de seguridad que, si se implementa ampliamente, aumentará la capacidad de las empresas europeas para resistir la naturaleza destructiva de las ciberamenazas del mañana.
Cómo prepararse para NIS2
Para prepararse para el cumplimiento de NIS2, los operadores y proveedores europeos de infraestructura crítica en su cadena de suministro primero deben realizar evaluaciones de riesgo integrales. Esto ayudará a identificar vulnerabilidades y debilidades que deben corregirse de acuerdo con los nuevos estándares NIS2. También proporcionará información sobre la eficacia de las medidas de seguridad existentes, que es otro elemento crucial de los nuevos requisitos.
Los Estados miembros tienen hasta el 17 de octubre de 2024 para transponer la Directiva a la legislación nacional. Esto da a las organizaciones afectadas 16 meses para garantizar que su nivel de defensa cibernética cumpla con los requisitos de la directiva.
La solución de gestión de contraseñas empresariales con sede en Dinamarca, Uniqkey, ha lanzado el sitio de información nis2directive.eu, que ofrece información accesible sobre NIS2 al público. El sitio incluye toda la información relacionada con la directiva NIS2, tomada de fuentes públicas oficiales y organizada para un fácil consumo. También tienen un documento técnico útil sobre el tema para cualquiera que busque sugerencias prácticas y específicas de herramientas sobre cómo lograr el cumplimiento de NIS2.
Si usted es una empresa europea que opera en uno de los 15 sectores cubiertos, o brinda servicios a una organización de este tipo, será esencial familiarizarse con los requisitos de la directiva para sobrevivir a la próxima transición regulatoria.
