Normativa NIS2: qué es y a quién aplica

La Directiva NIS2 (Directiva (UE) 2022/2555) representa un avance significativo en la estrategia de ciberseguridad de la Unión Europea. Su objetivo es garantizar un elevado nivel común de ciberseguridad en todos los Estados miembros, reforzando y ampliando el alcance de la anterior Directiva NIS1.

¿Qué es la NIS2?

La NIS2 establece medidas destinadas a mejorar la ciberresiliencia de las entidades que operan en sectores críticos y esenciales para la sociedad y la economía. Esta normativa impone obligaciones más estrictas en cuanto a la gestión de riesgos, la gobernanza y la notificación de incidentes de seguridad. Además, amplía el número de sectores y entidades que deben cumplir con estas obligaciones, incluyendo tanto entidades públicas como privadas.

¿A quién aplica?

La NIS2 se aplica a:

• Entidades medianas y grandes que operan en sectores considerados de alta criticidad y otros sectores críticos, tales como energía, transporte, banca, salud, agua potable, infraestructuras digitales, entre otros.
• Pequeñas y microempresas que, debido a su relevancia para la sociedad o la economía, pueden ser consideradas esenciales o importantes por los Estados miembros.
• Entidades que prestan servicios específicos, como proveedores de redes públicas de comunicaciones electrónicas, servicios de confianza, registros de nombres de dominio de primer nivel y proveedores de servicios de sistema de nombres de dominio.

En general, la NIS2 afecta a entidades que prestan sus servicios o llevan a cabo sus actividades en la Unión Europea. Estas entidades deben autoidentificarse como esenciales o importantes, dependiendo de factores como su tamaño, sector o la criticidad de sus actividades.

¿Cuándo entra en vigor?

La Directiva NIS2 fue publicada en el Diario Oficial de la Unión Europea el 27 de diciembre de 2022 y entró en vigor el 16 de enero de 2023. Los Estados miembros deben adoptar y publicar las disposiciones necesarias para dar cumplimiento a lo establecido en la Directiva antes del 17 de octubre de 2024, siendo aplicables a partir del 18 de octubre de 2024.

¿Qué deben hacer las entidades afectadas?

Las entidades incluidas en el ámbito de aplicación de la NIS2 deben:

• Implementar medidas técnicas y organizativas adecuadas para gestionar los riesgos que afectan a la seguridad de las redes y sistemas de información.
• Notificar incidentes de seguridad significativos a las autoridades competentes sin demora indebida.
• Adoptar políticas de gobernanza que incluyan la gestión de riesgos de ciberseguridad y la formación del personal.

El cumplimiento de estas obligaciones es esencial para garantizar la continuidad y seguridad de los servicios esenciales y críticos en la Unión Europea.

¿Qué medidas deben adoptar las empresas?

Para cumplir con la NIS2, las organizaciones deben implementar medidas técnicas y organizativas adecuadas, incluyendo:

• Gestión de riesgos y políticas de seguridad para los sistemas de información.
• Planes de continuidad del negocio y respuesta a incidentes.
• Seguridad en la cadena de suministro y capacitación en ciberseguridad.
• Implementación de prácticas como la autenticación multifactor y el cifrado de datos.

Además, la alta dirección de las empresas tiene la responsabilidad directa de supervisar y aprobar estrategias de ciberseguridad, asegurando su correcta implementación y actualización.

¿Qué sanciones existen por incumplimiento?

El incumplimiento de la NIS2 puede conllevar sanciones económicas significativas, que varían según la clasificación de la entidad (esencial o importante). Estas sanciones buscan garantizar el cumplimiento efectivo de la normativa y reforzar la ciberseguridad en sectores críticos.

¿Cómo puede ayudar Daratel?

Para más información y asesoramiento sobre cómo adaptar tu empresa a la Directiva NIS2, puedes contactar con Daratel a través del siguiente enlace:

Contactar con Daratel

Daratel ofrece servicios especializados en ciberseguridad y puede ayudarte a cumplir con los requisitos establecidos por la NIS2.