NIS2 – Regular para un futuro más seguro
La NIS2 es la llamada directiva de ciberseguridad para toda la UE, que entró en vigor en octubre de 2024. En comparación con la NIS1, la NIS2 introduce cambios significativos, que también impondrán obligaciones de ciberseguridad más estrictas a más organizaciones. Los Estados miembros deberán adoptar nuevas disposiciones que contengan estas medidas de control y ejecución más estrictas para garantizar el cumplimiento de la directiva. La NIS2 sustituye a la directiva NIS1, con varias diferencias significativas respecto a la NIS1: la NIS2 amplía el ámbito de aplicación a entidades más grandes, como los fabricantes de productos químicos y dispositivos médicos, los fabricantes de alimentos y los proveedores de redes sociales, que antes no estaban cubiertos por la NIS1. La NIS2 sustituye la distinción entre «operador de servicios esenciales» y «proveedor de servicios digitales» por «entidades esenciales» y «entidades críticas» basadas, entre otras cosas, en el tamaño y el sector. Aunque ambas tienen obligaciones similares, las entidades esenciales están sujetas a medidas de aplicación y control más estrictas. El supervisor del sector debe responsabilizarse de las medidas de control.
La NIS2 impone nuevas obligaciones de ciberseguridad a las entidades «esenciales» y «críticas», como la gestión de riesgos y de la cadena de suministro, la notificación de ciberincidentes y el intercambio de información. El cumplimiento de estos requisitos exigirá que las entidades incluidas en su ámbito de aplicación desarrollen y apliquen nuevas políticas y procedimientos. La NIS2 exige a los Estados miembros de la UE que mejoren sus estrategias nacionales de ciberseguridad y respondan a las amenazas digitales a las que se enfrentan. Es importante que las organizaciones se mantengan al corriente de las futuras iniciativas de los Estados miembros en este ámbito.
Requisitos de seguridad reforzados
La NIS2 mejorará los requisitos de seguridad de las empresas introduciendo una metodología de gestión de riesgos y una lista mínima de elementos básicos de seguridad. La directiva también contiene disposiciones mucho más detalladas sobre la notificación de incidentes, incluyendo, por ejemplo, el contenido y el calendario de las notificaciones. Según la directiva, la notificación debe hacerse en un plazo de 24 horas desde que se produzca el incidente y debe incluir un proceso de notificación más detallado. La NIS2 también exige abordar la seguridad de la cadena de suministro. Esto incluye también los riesgos que plantean las relaciones de comedimiento. La NIS2 también hace hincapié en la responsabilidad de la dirección sobre la ciberseguridad de la organización y responsabiliza individualmente a los órganos de gobierno, como los consejos de administración y la dirección de las empresas, para garantizar la aplicación efectiva de los requisitos de ciberseguridad. Las organizaciones pueden estar sujetas a diversas órdenes de ejecución, y el incumplimiento puede dar lugar a multas sustanciales.
