NIS2: refuerzo de la ciberseguridad en sectores críticos de la Unión Europea

La Directiva NIS2 (Network and Information Security 2), conocida oficialmente como Directiva (UE) 2022/2555, es el último paso de la UE para reforzar la seguridad digital en toda Europa. Publicado en diciembre de 2022, la NIS2 sustituye a la Directiva NIS de 2016, ampliando el ámbito de aplicación e introduciendo medidas de seguridad más estrictas.

Con el aumento de los ciberataques en los últimos años, esta legislación refleja la prioridad de la UE de garantizar la resiliencia de las infraestructuras críticas y los servicios esenciales, reduciendo las vulnerabilidades en las cadenas de suministro y las operaciones digitales. Pero, ¿cómo afecta esta directiva a las organizaciones?

¿Qué es la Directiva NIS2?

La NIS2 tiene como objetivo garantizar un alto nivel de ciberseguridad en sectores críticos, obligando a las empresas a adoptar medidas específicas, tales como:

• Gestión de riesgos y políticas de seguridad para los sistemas de información.
• Planes de continuidad del negocio y respuesta a incidentes.
• Seguridad en la cadena de suministro y capacitación en ciberseguridad.
• Implementación de prácticas como la autenticación multifactor y el cifrado de datos.

La NIS2 es un pilar esencial para la seguridad digital de la Unión Europea.

¿Qué sectores y entidades están incluidos?

Tanto las entidades públicas como las privadas deben evaluar el impacto de la NIS2 en su postura actual de ciberseguridad, definir un plan de cumplimiento y comprender las implicaciones más amplias del incumplimiento. 

La NIS2 cubre más de 100.000 organizaciones de 18 sectores a nivel europeo:

Se incluyen todas las entidades medianas o grandes (más de 50 empleados y una facturación de más de 10 millones de euros). Sin embargo, las entidades más pequeñas pueden verse afectadas si se clasifican como "entidades esenciales" o "entidades importantes".

Implementación y fechas clave

• Hasta el 17 de octubre de 2024: Los Estados miembros deben adoptar y aplicar las medidas necesarias para dar cumplimiento a la directiva.
• Hasta el 17 de enero de 2025: Determinadas tipologías de entidades deberán facilitar información identificativa a la Autoridad Nacional de Ciberseguridad. 
• Hasta el 17 de abril de 2025: Los Estados miembros deberán publicar las listas de entidades esenciales e importantes y de entidades que presten servicios de registro de nombres de dominio.
• Hasta el 17 de octubre de 2027: La Comisión Europea evaluará el funcionamiento de NIS2 y presentará un informe al Parlamento Europeo y al Consejo, que deberá revisarse cada 36 meses.

Aunque el plazo de transposición de la NIS2 ya ha expirado, España y Portugal, así como otros, 21 Estados miembros, aún no han integrado la Directiva en su legislación nacional.

Con el proceso de transposición en marcha, las entidades portuguesas y españolas deben actuar de inmediato para implementar las medidas requeridas por la directiva, asegurando su cumplimiento y minimizando los riesgos de ciberseguridad.

¿Cómo pueden prepararse las organizaciones?

Independientemente de la fase de transposición, las empresas deben adoptar un enfoque proactivo para prepararse para la NIS2:

• Evaluación de riesgos: Identificar las principales amenazas de seguridad y las brechas en las políticas actuales.
• Implementación de medidas: Establecer políticas de continuidad del negocio, canales de comunicación seguros y formación de los empleados.
• Seguimiento continuo: Asegurar que las medidas implementadas siguen siendo efectivas y ajustadas a los requisitos de la legislación.

Un paso estratégico para la seguridad digital

Más que una obligación legal, NIS2 es una oportunidad para que las organizaciones fortalezcan sus infraestructuras digitales y aumenten la confianza de los clientes y las partes interesadas.

En Izertis reconocemos los retos tecnológicos y somos expertos en Ciberseguridad, ayudando a las empresas en su transformación digital. Adáptese hoy para garantizar la seguridad del mañana.