Qué es la directiva NIS2 y a qué empresas aplica

La directiva NIS2 es una regulación de la Unión Europea diseñada para mejorar la seguridad de las redes y sistemas de información críticos para la sociedad y la economía.

La NIS2 amplía el alcance de la directiva original, incluyendo más sectores y entidades consideradas críticas e importantes. Esto implica que más empresas deben implementar medidas de ciberseguridad robustas, reportar incidentes significativos en un plazo de 24 horas a las autoridades competentes, realizar evaluaciones de riesgos, establecer procedimientos de respuesta a incidentes y garantizar la seguridad de la cadena de suministro.

Para evitar sanciones y protegerse contra ciberataques, las empresas deben cumplir con la normativa antes del 17 de octubre de 2024.

¿A qué sectores aplica la NIS2?

La UE considera que deben cumplir con esta normativa las empresas y organizaciones con más de 50 empleados y una facturación superior a 10 millones de euros.

Estos son los sectores a los que aplica, categorizados en tres grupos:

Críticos:

  • Energía: empresas de suministro y distribución de electricidad, gas y petróleo.
  • Transporte: operadores de transporte aéreo, ferroviario, marítimo y por carretera.
  • Banca y finanzas: instituciones bancarias, proveedores de servicios financieros y mercados financieros.
  • Salud: hospitales, clínicas y otros proveedores de servicios de salud esenciales.
  • Agua potable y aguas residuales: empresas que gestionan el suministro de agua potable y el tratamiento de aguas residuales.
  • Infraestructura digital: proveedores de servicios de infraestructura digital, como centros de datos y redes de telecomunicaciones.
  • Administración pública: entidades gubernamentales y organismos públicos que gestionan servicios esenciales.

Importantes:

  • Alimentación: empresas de producción y distribución de alimentos.
  • Manufactura y producción industrial: fabricantes de productos esenciales, incluyendo químicos y productos farmacéuticos.
  • Servicios postales y logísticos: operadores de servicios postales y de logística esenciales.
  • Espacio: proveedores de servicios relacionados con el espacio y la exploración espacial.
  • Tecnologías de la información y comunicación (TIC): empresas que proporcionan servicios TIC, incluyendo proveedores de servicios de internet y empresas de software.

Proveedores de servicios digitales:

  • Servicios cloud: proveedores de servicios de computación en la nube y almacenamiento en la nube.
  • Mercados en línea: plataformas de comercio electrónico que facilitan la venta de bienes y servicios.
  • Motores de búsqueda en línea: empresas que operan motores de búsqueda en línea.

¿Qué medidas hay que aplicar para cumplir con la NIS2?

Las empresas deben prepararse revisando sus políticas y procedimientos de ciberseguridad actuales, evaluando su conformidad con los requisitos de la NIS2 e implementando las mejoras necesarias. Las principales medidas incluyen:

  1. Gestión de riesgos cibernéticos:

    • Evaluación de riesgos: realizar evaluaciones periódicas de riesgos para identificar y mitigar posibles vulnerabilidades.
    • Planificación de contingencias: desarrollar planes de contingencia y recuperación ante desastres para asegurar la continuidad operativa.
  2. Higiene cibernética:
    • Actualización de sistemas: mantener los sistemas y software actualizados para protegerlos contra vulnerabilidades conocidas.
    • Contraseñas seguras: implementar políticas de contraseñas seguras y autenticación multifactor para todos los accesos críticos.
  3. Respuesta a incidentes:
    • Protocolos de respuesta: establecer procedimientos claros y detallados para la detección, respuesta y recuperación de incidentes de seguridad.
    • Notificación de incidentes: informar a las autoridades competentes de cualquier incidente significativo en un plazo de 24 horas.
  4. Seguridad en la cadena de suministro:
    • Evaluación de proveedores: evaluar y monitorear la seguridad de los proveedores y socios comerciales.
    • Acuerdos de seguridad: incluir cláusulas de seguridad en los contratos con proveedores para asegurar el cumplimiento de estándares de ciberseguridad.
  5. Formación y concienciación:
    • Capacitación continua: ofrecer programas de formación y concienciación en ciberseguridad para todos los empleados.
    • Simulacros: realizar ejercicios regulares para evaluar y mejorar la preparación ante incidentes.
  6. Implementación de medidas técnicas y organizativas:
    • Protección de datos: implementar medidas técnicas como cifrado y control de acceso para proteger los datos sensibles.
    • Monitoreo y auditoría: establecer sistemas de monitoreo continuo y realizar auditorías de seguridad regulares para detectar y corregir anomalías.

Es importante destacar que, según los legisladores europeos, los directivos de cada empresa son responsables de garantizar la ciberseguridad y prevenir incidentes de seguridad TI, respondiendo personalmente por cualquier incumplimiento.

¿Cómo se regulará la normativa NIS2 en España?

Hay poca homogeneidad de la directiva en los Estados miembros, con una aplicabilidad diferente en cada uno. En el caso de España, se debe transponer la Directiva NIS2 a las normativas actuales, específicamente el Real Decreto 12/2018 y el Real Decreto 43/2021, para actualizarlas con los nuevos requisitos.

Aunque aún no se ha definido la autoridad supervisora específica para la NIS2 en España, se espera que sea el Centro Nacional para la Protección de Infraestructuras y Ciberseguridad (CNPIC).

En este enlace puedes consultar la directiva NIS2 en detalle.

Cómo podemos ayudarte a cumplir con la directiva NIS2

Desde Claranet, solucionamos los requerimientos de la normativa a través de los siguientes servicios:

  • Servicios de consultoría de cumplimiento: ayudan a entender y cumplir con los nuevos requisitos de ciberseguridad.
  • Servicios SOC: respuesta a incidentes, garantizando que cualquier ciberataque sea detectado y gestionado de manera efectiva.
  • Mejora de accesos, autenticación y formación a usuarios: implementación de MFA y acciones de concienciación.
  • Managed Workplace Services (MWS): Monitoreo, gestión de identidades, evaluación de riesgos y reporting.
  • Gobernanza de datos y seguridad de la información: soluciones de protección de datos (Microsoft Purview) y gestión de acceso e identidad en la nube (Entra ID).

¿Quieres saber si tu empresa debe cumplir con la NIS2 y qué medidas incorporar? Contacta con nuestro equipo de expertos.