La NIS2 es la directiva europea relativa a las medidas para un elevado nivel común de ciberseguridad en toda la Unión Europea.
Este nuevo marco legal introduce varias medidas para reforzar la ciberseguridad de las empresas de muchos sectores considerados críticos para la economía, exigiendo la aplicación de medidas adecuadas para proteger sus redes y sistemas de información.
Aunque fue aprobada en diciembre de 2022, los 27 estados miembros de la Unión Europea tienen hasta el mes de octubre de este año para incorporar a sus legislaciones nacionales y hacer efectivas las nuevas obligaciones derivadas de esta directiva.
¿A qué empresas afecta la NIS2?
“La Directiva NIS2 amplía el alcance de la Directiva NIS original para incluir una mayor variedad de sectores y servicios”, afirma Mario García, director general de Check Point Software España y Portugal.
Las empresas afectadas se dividen en dos categorías. Por un lado están las denominadas ‘esenciales’. “Son aquellas que pertenezcan a los sectores de alta criticidad para la economía y la sociedad, como energía, transporte, banca, infraestructura del mercado financiero, salud, agua potable y distribución, infraestructura digital y servicios públicos”, desgrana García.
Y luego tenemos la categoría de las compañías calificadas como ‘importantes’. “Incluye a aquellas que, si bien no operan en sectores críticos, podrían tener un impacto significativo, como proveedores de servicios digitales, servicios postales y de mensajería, gestión de residuos, fabricación de productos críticos y administraciones públicas”, apunta.
Dichas empresas también están sujetas a requisitos de seguridad, pero éstos son menos estrictos que los de las organizaciones ‘esenciales’.
¿Qué tendrán que hacer?
El director general de Check Point Software España y Portugal señala que las organizaciones afectadas habrán de implementar “medidas de gestión de riesgos de ciberseguridad adecuadas y proporcionadas para proteger sus activos críticos, entre las que se incluyen la identificación de activos, la evaluación de riesgos, la implementación de controles de seguridad y la monitorización continua”.
Además, tendrán que realizar auditorías y pruebas de forma regular para evaluar la eficacia de sus medidas de seguridad, así como proporcionar formación y concienciación sobre ciberseguridad a su personal.
También estarán sujetas a requisitos de notificación de incidentes. Así pues, las empresas tendrán que emitir una alerta temprana en un plazo de 24 horas desde que se haya tenido constancia del incidente. 72 horas después, deberán realizar una actualización. Y dispondrán de un mes como máximo para comunicar una notificación final con la presentación del informe definitivo.
¿Qué pasa si no cumplen?
Las empresas que se ven afectadas por la nueva directiva deben ‘ponerse las pilas’, puesto que el régimen sancionador que contempla es bastante severo.
“Las empresas que entren en el ámbito de aplicación de la NIS2, pero no la cumplan, podrían enfrentarse a una serie de implicaciones legales, incluidas multas y otras sanciones similares a las establecidas para el del RGPD”, explica García.
Dichas sanciones varían según el tipo de compañía. En el caso de las entidades ‘esenciales’, las sanciones pueden llegar hasta los 10 millones de euros o un máximo del 2% del volumen de negocio anual total a nivel mundial del ejercicio financiero anterior.
Y si hablamos de las entidades ‘importantes’, las multas económicas pueden alcanzar hasta 7 millones de euros o un máximo del 1,4% del volumen de negocio.
“Los estados miembros tendrán como fecha límite el 17 de enero de 2025 para comunicar el régimen de sanciones aplicables por incumplimiento a la Comisión Europea”, precisa el director general de Check Point Software España y Portugal.
En cualquier caso, hace hincapié en que “cumplir con NIS2 no es sólo una obligación regulatoria, sino una necesidad estratégica para proteger a las empresas contra unas ciberamenazas que están creciendo permanentemente”.
