La Directiva NIS2, que comenzó a regir en enero de 2023, representa un esfuerzo coordinado por parte de la Unión Europea para unificar y reforzar las medidas de ciberseguridad entre sus estados miembros. Con un periodo de adaptación que culmina el 17 de octubre de 2024, los países de la UE están obligados a incorporar esta directiva en sus sistemas legales, requiriendo que las empresas actualicen sus protocolos de seguridad en un tiempo limitado.
Esta nueva normativa, evolucionada a partir de la directiva NIS original, busca equiparar los niveles de seguridad en sectores críticos de importancia estratégica como el energético, transporte, banca, salud, suministro de agua potable, infraestructuras digitales y administración pública, entre otros. Un elemento novedoso e importante en la NIS2 es la atención especial a la seguridad de la cadena de suministro y los proveedores de servicios externos a la UE.
La NIS2 clasifica a las organizaciones en dos grupos: entidades esenciales y entidades importantes. Las primeras pertenecen a sectores de alta criticidad y están sujetas a regulaciones de ciberseguridad más estrictas, incluyendo áreas como la energía, transporte y salud. Por otro lado, las entidades importantes, aunque críticas, no se consideran esenciales; aquí se encuentran servicios como la gestión de residuos y proveedores digitales.
Para ambas categorías, la directiva impone la aplicación de medidas de ciberseguridad que incluyen controles de acceso con autenticación multifactor, protección contra malware y ransomware, y una gestión efectiva de incidentes de seguridad. Además, se destaca la notificación obligatoria de incidentes de ciberseguridad, que debe llevarse a cabo en tres fases distintas desde la detección del incidente, comenzando con una notificación inicial dentro de las 24 horas.
El incumplimiento de estas medidas puede acarrear importantes sanciones financieras. Para las entidades esenciales, las multas pueden ascender a 10 millones de euros o el 2% de la facturación anual global, mientras que para las entidades importantes las sanciones pueden alcanzar hasta 7 millones de euros o el 1.4% de la facturación.
El Centro Criptológico Nacional (CCN) ha dispuesto un servicio de consultas para ayudar a las organizaciones en el proceso de adaptación a la NIS2, proporcionándoles recursos y guías específicas como la CCN-STIC 892, que detalla las medidas necesarias siguiendo el Esquema Nacional de Seguridad.
La Directiva NIS2 representa un avance crucial en el fortalecimiento de la ciberseguridad en Europa. Para cumplir con sus disposiciones, las organizaciones deberán adoptar una postura proactiva, garantizando así la protección de infraestructuras críticas y la resiliencia del entorno digital europeo. La colaboración y el compromiso por parte de los estados y las empresas serán pilares clave en este proceso de transformación hacia un panorama más seguro y unificado.
