DIRECTIVA NIS2 DE CIBERSEGURIDAD: QUÉ ES Y A QUIÉNES APLICA?

La Directiva NIS2 (Network and Information Security 2) es la norma europea que actualiza y refuerza las reglas sobre ciberseguridad después de la versión original NIS de 2016.

Su objetivo principal es crear un nivel común elevado de protección en toda la Unión Europea frente a riesgos digitales.

¿A quién aplica NIS2?

Se dirige a entidades públicas y privadas de tamaño mediano o grande que operan en sectores clave como energía, salud, transporte, finanzas, tecnologías de la información, agua, telecomunicaciones, entre otros.

Dependiendo del sector y el nivel de criticidad, esas organizaciones serán clasificadas como “entidades esenciales” o “entidades importantes”.

Principales obligaciones bajo NIS2

Estas son las tareas clave que deberán asumir las entidades afectadas:

Plazos y estado

La directiva NIS2 entró en vigor el 16 de enero de 2023 aplica en España, no obstante es necesario averiguar los plazos y aplicaciones en tu país.

Los Estados miembros tenían hasta el 17 de octubre de 2024 para incorporar sus disposiciones al derecho nacional.

En España, la transposición se ha realizado mediante un anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad.

En cuanto al Esquema Nacional de Seguridad (ENS), ya exigido para el sector público y para quienes trabajen con la Administración, muchas de sus exigencias están alineadas con NIS2.

Consecuencias de no cumplir NIS2

Multas importantes: podrían superar los millones de euros o un porcentaje de la facturación global.

Riesgo reputacional: filtraciones de datos o paradas de servicio pueden dañar la confianza de clientes, usuarios o instituciones.

Pérdida operativa: un incidente mal manejado puede paralizar operaciones críticas.

Recomendaciones prácticas para empezar ya con el cumplimiento de esta normativa:

1. Hacer un diagnóstico inicial de tus sistemas, activos y riesgos.
2. Mapear proveedores y subcontratistas para ver dónde están los puntos débiles en la cadena.
3. Definir roles y responsabilidades en ciberseguridad para directivos y áreas técnicas.
4. Implementar medidas básicas: control de acceso, copias de seguridad, cifrado, parches, monitoreo.
5. Formación continua del personal: cultura de seguridad y detección de amenazas.
6. Simulacros y ejercicios de incidentes para preparar la respuesta en situaciones reales.
7. Revisión constante: auditar de forma periódica y ajustar según evolucione el entorno.

Tomado de: https://isotools.org/