La Directiva NIS2 (Directiva (UE) 2022/2555) marca un hito en la protección cibernética de la Unión Europea al expandir sus regulaciones a una gama más amplia de sectores y tipos de empresas, incluidas las pequeñas y medianas empresas (pymes). Con el objetivo de fortalecer la resiliencia de infraestructuras críticas, esta normativa busca elevar los estándares de seguridad en redes y sistemas de información.
El alcance de la NIS2 se extiende a entidades tanto públicas como privadas, operantes en sectores considerados esenciales o importantes. Estos abarcan diversas áreas como energía, transporte, banca, salud, infraestructura digital, y más. Las pymes participando en estos sectores o en sus cadenas de suministro deben adherirse a las regulaciones impuestas por la directiva.
En cuanto a obligaciones, las pymes deberán implementar medidas técnicas y organizativas para gestionar riesgos de ciberseguridad. Las iniciativas incluyen desarrollar políticas de seguridad, establecer programas de formación en ciberseguridad, y adoptar prácticas de protección como el cifrado de datos y la autenticación multifactor. Además, las pymes están obligadas a notificar incidentes de seguridad significativos a las autoridades competentes en un plazo de 24 a 72 horas, dependiendo de la gravedad del evento.
Sin embargo, el cumplimiento de estas normativas presenta desafíos considerables para las pymes. Según un informe de Hiscox, el 43% de estas empresas carece de un plan formal de respuesta ante incidentes. Además, un estudio de INCIBE muestra que el 70% de las pymes en España no cuenta con un presupuesto específico para ciberseguridad, evidenciando una discrepancia preocupante entre las obligaciones de la NIS2 y la realidad empresarial.
Para abordar estos retos, se aconseja a las pymes realizar auditorías de ciberseguridad, desarrollar políticas adecuadas, formar al personal y establecer protocolos de gestión de incidentes. Además, pueden considerar adoptar estándares como la ISO 27001 para facilitar su cumplimiento.
En conclusión, aunque las nuevas obligaciones de la NIS2 implican desafíos en términos de recursos, son vitales para salvaguardar la integridad de los sistemas de información y asegurar la continuidad empresarial en un panorama cada vez más digital y vulnerable a las amenazas cibernéticas.
