El crecimiento de los ciberataques a empresas dentro de la Unión Europea, pone de manifiesto la necesidad de una normativa que guíe a las compañías en la lucha contra la ciberdelincuencia. La normativa NIS2 se enfoca así, a la protección de infraestructuras críticas de los estados miembros.

A las puertas del inicio de la aplicación de la normativa, prevista para el 17 de octubre, son muchas las compañías que aún desconocen sus características esenciales y sus obligaciones. Si bien la actualización de la normativa NIS de 2016, busca mejorar la ciberresiliencia y la capacidad de respuesta ante incidentes, la NIS2 incluye nuevos requisitos y medidas.

Sectores susceptibles de aplicación

La normativa, en vigor desde el 16 enero de 2023, amplía el alcance de actuación a industrias y sectores más críticos como infraestructuras digitales, sanidad, sector energético, gestión de agua o transportes, entre otros.

Independientemente del tamaño o de la naturaleza pública o privada, las empresas críticas deben cumplir con la normativa NIS2. Algunos de los sectores más destacables incluyen, el sector energético (gas, electricidad, crudo, sistemas urbanos de calefacción y refrigeración, entre otros), transportes (marítimo y fluvial, ferroviario, aéreo y carreteras), banca y mercado financiero, sector sanitario (prestadores de asistencia sanitaria, laboratorios, I+D, fabricación farmacéutica, entre otros), aguas residuales, aguas potables, infraestructura digital (registro de dominios, proveedores DNS…) gestión servicios TIC (servicios gestionados, servicios de seguridad gestionados) entidades AAPP (con algunas exclusiones), servicios postales y de mensajería, gestión de residuos, alimentación (producción, transformación y distribución de alimentos)…

Novedades NIS2

 El objetivo de esta actualización, es establecer unos requisitos más estrictos en materia de ciberseguridad. Las compañías deben implementar medidas preventivas y correctivas que aborden la gestión del riesgo, la seguridad de la cadena de suministro, la criptografía, la vigilancia de amenazas y la respuesta a incidentes, entre otras medidas.

Además, estas medidas deben ser proporcionales al riesgo, tamaño, coste, impacto y gravedad de los incidentes, a la par que se alinean con las normativas europeas e internacionales.

Asimismo, las empresas están obligadas a notificar cualquier incidente relevante dentro de las 24 horas posteriores a su detección. Al realizar la notificación de manera rápida, se pretende mitigar el impacto que puedan tener los ataques.

Para que este proceso funcione eficazmente, las empresas deben definir claramente los roles y responsabilidades en torno a la ciberseguridad, incluyendo la formación de empleados. La notificación debe hacerse lo antes posible al CSIRT o a la autoridad competente.

Asimismo, se pone de manifiesto la importancia de la ciberseguridad de la cadena de suministro. La gestión de riesgos de las entidades esenciales y de las entidades importantes, es una de las medidas más importantes, que contempla el tratamiento de los datos o los editores de software entre otros.

Esto se debe a la cantidad e importancia de los incidentes que tienen lugar dentro de la cadena de suministro, que comprometen la seguridad de las redes y los sistemas de información de las mismas. De igual manera, la normativa pone de manifiesto que las entidades deben evaluar la calidad general, teniendo en cuenta las medidas de gestión de riesgos y las prácticas en materia de ciberseguridad de los proveedores y prestadores de servicios.

Auditorías

Las organizaciones deben someterse a auditorías y evaluaciones regulares para asegurar que sus sistemas cumplen con los estándares de ciberseguridad. En este sentido, las autoridades competentes podrán supervisar el cumplimiento de la normativa, distinguiendo entre las entidades esenciales y las entidades importantes.

Para el primer supuesto, se realizarán auditorias de seguridad, de manera específica y con una periodicidad establecida, auditorías Ad Hoc, inspecciones in situ (incluidas de manera aleatoria) y análisis de seguridad, así como otras medidas de supervisión.

En el segundo caso, para las entidades importantes, se asignan auditorías de seguridad específicas basadas en evaluaciones de riesgo, así como análisis de seguridad, inspecciones in situ y supervisión a posteriori, además de otras solicitudes con el fin de asegurar el correcto cumplimiento.

Sanciones

La normativa NIS2 introduce una serie de sanciones más severas en caso de incumplimiento de la normativa. La normativa otorga a las autoridades nacionales una serie de poderes coercitivos que podrán aplicar, como apercibir por incumplimiento, ordenar el cese de una conducta que incumpla la normativa, definir un responsable de supervisión o adoptar instrucciones vinculantes o requerimientos de subsanación entre otros.

Asimismo, la normativa contempla una serie de sanciones para las compañías que incumplan con la normativa NIS2, donde se enfrentarán a multas significativas, que podrán alcanzar el hasta el 2% de su facturación global anual. Es decir, podrán sancionar con 10.000.000 de euros o hasta el 2% del volumen de negocio, al que pertenezca una entidad esencial. Y un máximo de 7.000.000 de euros o un 1,4% del volumen de negocio para las entidades importantes.

En resumen, la NIS2 refuerza la ciberseguridad en las empresas de la UE, promoviendo la cooperación entre los Estados miembros y fomentando redes de intercambio de información para una respuesta coordinada ante incidentes de ciberseguridad.

Recuerda que en Einzelnet contamos con un gran equipo de profesionales, especialistas en ciberseguridad, que estarán dispuestos a solventar tus dudas y ayudarte con la normativa NIS2.