NIS2: Los nuevos requisitos en ciberseguridad
En un mundo cada vez más interconectado y dependiente de la tecnología, la ciberseguridad se ha convertido en una prioridad fundamental para gobiernos, empresas y ciudadanos. Con el objetivo de establecer un nivel común de ciberseguridad en toda la Unión Europea y mejorar el mercado interior, se ha adoptado la Directiva NIS2. Esta directiva no solo busca reforzar la seguridad de las infraestructuras críticas, sino también ampliar su alcance a nuevos sectores y entidades, imponiendo requisitos más estrictos y específicos.
Conoce en este artículo detalles sobre los objetivos, cambios, sectores afectados, requisitos y próximos pasos de la Directiva NIS2, proporcionando una visión completa de cómo esta normativa impactará a las organizaciones públicas y privadas en toda Europa. Además, incluiremos un enlace a un webinar de IPDATA sobre el tema para aquellos que deseen profundizar aún más en el tema.
– La Directiva NIS2 busca establecer un nivel común de ciberseguridad en la Unión Europea para mejorar el mercado interior.
– Define obligaciones para que los Estados adopten estrategias de ciberseguridad y designen autoridades competentes.
– Introduce medidas de gestión de riesgos y notificación de incidentes, así como normas para el intercambio de información sobre ciberseguridad.
Video completo del webinar sobre NIS2
Principales cambios introducidos por la NIS2
– NIS 1 (2017) : Mejora la ciberseguridad en infraestructuras críticas, pero su implementación fue heterogénea entre los Estados miembros.
– NIS 2 :
– Ampliación de sectores considerados esenciales e importantes.
– Refuerzo de requisitos de seguridad, incluyendo gestión de crisis, vulnerabilidades, pruebas de ciberseguridad y cifrado.
– Mayor responsabilidad de la dirección de las empresas en la gestión de riesgos de ciberseguridad.
– Obligaciones más precisas sobre la notificación de incidentes.
– Mayor enfoque en la cadena de suministro y sus riesgos asociados
Sectores y entidades afectadas
– Se aplica a entidades públicas y privadas que superen ciertos tamaños, o sean medianas empresas..
– Afecta a 18 sectores, divididos en sectores de alta criticidad (energía, banca, salud, transporte, etc.) y otros sectores críticos (química, alimentación, servicios postales, etc.).
– Incluye a proveedores de servicios digitales y operadores de servicios esencial
Requisitos y obligaciones
– Gobernanza: La dirección debe aprobar medidas para gestionar riesgos de ciberseguridad y asistir a formaciones periódicas.
– Gestión de riesgos: Las entidades deben gestionar riesgos y prevenir incidentes, teniendo en cuenta su exposición, tamaño y probabilidad de ocurrencia.
– Notificación de incidentes: Se debe notificar cualquier incidente significativo al CSIRT o autoridad competente dentro de un plazo específico.
– Control de acceso: Se deben implementar medidas estrictas para el control de acceso a sistemas y datos sensibles.
Próximos pasos
– Los Estados miembros deben trasponer la Directiva NIS2 antes del 17 de octubre de 2024.
– Para 2025, los Estados miembros comunicarán a la Comisión Europea el régimen sancionador aplicable y elaborarán una lista de entidades esenciales e importantes.
– Se debe garantizar el cumplimiento de la Directiva en todos los Estados miembros.- Las entidades deben asegurarse de que su volumen de negocio anual cumpla con los umbrales establecidos por la Directiva.
