La Directiva NIS2 (UE 2022/2555) tiene por objeto garantizar un elevado nivel común de ciberseguridad en la UE. Protege sistemas y redes de información en la UE, previene ataques y asegura la continuidad de servicios digitales. Impone responsabilidades de ciberseguridad a los países miembros, implementa medidas de gestión de riesgos y establece requisitos de notificación. Fomenta el intercambio de información y establece mecanismos de supervisión y cumplimiento para los Estados miembros.¿A qué empresas aplica la Directiva NIS2?
La Directiva NIS-2 se aplicará obligatoriamente a empresas con más de 250 empleados y un volumen de facturación anual superior a los 50 millones de euros. También estarán sujetos relacionados con áreas como energía, transporte, salud, banca, finanzas y telecomunicaciones, entre otros sectores. Además de la administración pública, la Directiva se extiende a medianas y grandes empresas en sectores específicos como gestión de residuos, industrias química, farmacéutica y alimentaria, fabricación de maquinaria pesada, servicios postales y fabricación de vehículos, entre otros.
¿Qué indica NIS2 para evitar posibles incidentes cibernéticos?
La recién promulgada directiva NIS 2 impone a los Estados miembros una serie de obligaciones, entre las cuales se incluyen:
- El desarrollo de estrategias de ciberseguridad.
- La designación o establecimiento de autoridades competentes en la materia.
- La creación de autoridades encargadas de gestionar crisis relacionadas con la ciberseguridad.
- La designación de puntos de contacto especializados en ciberseguridad.
- La formación de equipos de respuesta a incidentes de seguridad informática, conocidos como CSIRT (por sus siglas en inglés: “Computer Security Incident Response Team”).
En un esfuerzo por mejorar la coordinación en la gestión de la ciberseguridad a gran escala, se ha establecido la Red Europea de Organización de Enlace de Crisis Cibernéticas (EU-CYCLONe).
Además, se otorga un papel más relevante a la Agencia de la Unión Europea para la Ciberseguridad (ENISA), la cual tendrá la responsabilidad de promover entre los estados miembros y las autoridades competentes los requisitos y las mejores prácticas para la prevención, detección y respuesta ante los ciberataques.
¿Cuáles son las principales novedades de NIS2?
Además de ampliar el ámbito de aplicación y mejorar la coordinación y cooperación, las principales mejoras o novedades en comparación con la versión anterior incluyen:
- Implementación de sanciones más rigurosas para aquellos que no cumplan con sus obligaciones, incluyendo multas significativas y sanciones administrativas.
- Imposición de responsabilidades a los directivos de las empresas, que deben aprobar y supervisar la implementación de medidas técnicas, operativas y organizativas para prevenir y minimizar el impacto de los incidentes.
- Introducción de nuevos requisitos de seguridad, como el uso de cifrado de extremo a extremo, la capacitación obligatoria para los miembros de la dirección y empleados en entidades esenciales o la privacidad por defecto y desde el diseño.
- Fortalecimiento de la seguridad en las cadenas de suministro y las relaciones con los proveedores, permitiendo a las empresas exigir el cumplimiento de la normativa a sus proveedores, especialmente si son operadores críticos.
- Obligatoriedad de informar sobre incidentes, similar al Reglamento General de Protección de Datos (RGPD), donde los operadores de servicios esenciales y los proveedores de servicios digitales deben informar sobre ciertos tipos de incidentes graves a las autoridades relevantes en un plazo de 72 horas.
¿Cuándo entra en vigor la Directiva NIS2?
La Directiva se hizo efectiva el 27 de diciembre de 2022 luego de su publicación en el Diario Oficial de la Unión Europea. Sin embargo, los estados miembros disponen de tiempo hasta el 17 de octubre de 2024 para llevar a cabo la transposición, es decir, para adoptar y publicar las medidas requeridas para cumplir con lo establecido en la directiva.
Autor
Alejandro Cano