La ciberseguridad es un sector cuya importancia no para de crecer, sobre todo teniendo en cuenta que los actores maliciosos van en muchas ocasiones dos pasos por delante del resto. Los desafíos que esto supone hizo que la Unión Europea aprobara en 2016 la directiva de Seguridad de la Red y de la Información (NIS en sus siglas en inglés), la cual fue revisada en una segunda versión aprobada en el año 2023 y que es conocida como NIS2.
La NIS original se centraba en siete sectores clave: energía, transporte, banca, mercados financieros, sanidad, agua potable e infraestructuras digitales. Sin embargo, la evolución de la propia ciberseguridad y el constante aumento de las amenazas han forzado la creación de una segunda versión de la directiva para ampliar los sectores, mejorar las medidas a tomar ante las incidencias y aumentar las cuantías de las sanciones.
La principal diferencia entre la primera y la segunda versión de la directiva NIS radica en la ampliación de los sectores cubiertos, ya que se han sumado sanidad, transporte, finanzas y gestión de residuos, entre otros, para sumar un total de dieciocho. Sí, la sanidad no estaba incluida en la directiva original, a pesar de que como sector es una prioridad para los ciberdelincuentes desde hace muchos años.
Entre las obligaciones impuestas están el reportar incidentes graves de seguridad en un plazo de 24 horas y proporcionar una evaluación detallada en 72 horas
En lo que respecta a las organizaciones de menor tamaño a las que les afecta la NIS2, esta se aplica a pequeñas empresas que tienen un volumen de negocio superior a diez millones de euros o cincuenta empleados o más. Obviamente, sobra decir que las medianas y grandes empresas que pertenezcan a los sectores abarcados por la directiva también tiene que cumplir.
La nueva versión de la directiva aborda cuatro áreas clave: obligaciones de información, gestión de riesgos, funciones de gestión y gobernanza, además de ejecución y sanciones. Entre las obligaciones impuestas están el reportar incidentes graves de seguridad en un plazo de 24 horas y proporcionar una evaluación detallada en 72 horas.
La gestión de los riesgos implica la identificación, evaluación, prevención y mitigación de estos con políticas claras sobre el uso de la criptografía, la gestión de incidentes, la continuidad empresarial y la seguridad de la cadena de suministro. La responsabilidad de la evaluación y supervisión de las medidas de gestión de riesgos y el cumplimiento de las mejoras en las prácticas de seguridad recae en la alta dirección de la organización, mientras que las autoridades se reservan las competencias de imponer sanciones no monetarias, multas administrativas y sanciones penales por incumplimiento de la NIS2.
Se aplica a pequeñas empresas que tienen un volumen de negocio superior a diez millones de euros o cincuenta empleados o más
La NIS2 está en vigor desde enero de 2023 y su fecha límite de cumplimiento está establecida para el 18 de octubre de 2024. Conociendo este dato, las organizaciones que se ven afectadas ya deberían haber empezado a mover ficha para adaptarse, porque en caso de no hacerlo y enfrentar una incidencia de ciberseguridad sin cumplir con lo estipulado en la directiva, se enfrentarán a sanciones que podrían ser importante. Esto, resulta muy serio si tenemos en cuenta que a la Unión Europea no le ha temblado la mano a la hora de hacer cumplir el GDPR y otras legislaciones que están en vigor. Dicho con otras palabras, la Unión Europea se toma estas cosas muy en serio.
Hay que tener en cuenta una cosa, y es que una directiva de la Unión Europea, al contrario de un reglamento, no es de aplicación directa. Esto quiere decir que la entrada en vigor de la NIS2 requiere de su adaptación por parte de cada uno de los estados miembros de la Unión Europea a través de sus propios procesos internos, que por lo general suele ser la tramitación y la correspondiente aprobación parlamentaria.
Cumplir con una legislación cada vez más compleja es difícil, así que las organizaciones no deben dudar a la hora de obtener los medios necesarios, ya sea contratando o pidiendo servicios a una empresa especializada o creando departamentos dedicados y gestionados por especialistas en la materia.