Cada año, los avances tecnológicos crecen y con ello las herramientas de los ciberdelincuentes para dañar el sistema de ciberseguridad de empresas y particulares. A día de hoy, la posibilidad de amenaza es una realidad y organizaciones como la Unión Europea ven como una necesidad mantener actualizada su legislación sobre ciberseguridad en sus Estados miembros. Pero no solo a nivel estatal se deben aplicar estrategias de ciberseguridad; si tienes una empresa, deberías saber qué es la NIS2 para aplicarla correctamente a tu negocio.
Si no sabes qué es la Directiva NIS2 y quieres conocer las medidas que hay que aplicar en las organizaciones afectadas, continúa leyendo y evita sanciones innecesarias.
- ¿Qué es la Directiva NIS2?
- ¿Cuáles son las empresas afectadas?
- ¿Cuáles son las sanciones por no aplicar la normativa NIS2?
- ¿Qué medidas hay que aplicar?
¿Qué es la Directiva NIS2?
La Directiva NIS2 es la actualización de la legislación sobre ciberseguridad de la Unión Europea, la anterior Directiva NIS de 2016, destinada a garantizar un alto nivel común de ciberseguridad. Esta nueva versión que pretende eliminar las diferencias entre los Estados miembros introduce requisitos más estrictos, refuerza las medidas de ejecución y amplía el ámbito de aplicación de su predecesora.
Desde que la Directiva NIS2 entró en vigor en España el 17 de octubre de 2024, las empresas afectadas serán supervisadas por profesionales cualificados para controlar su correcto cumplimiento. En estas organizaciones se podrá adoptar un enfoque de gestión de riesgos para priorizar estas tareas que serán de obligado cumplimiento bajo pena de sanciones.
¿Cuáles son las empresas afectadas?
El conjunto de reglamentos y requisitos de ciberseguridad de la Directiva NIS2 son aplicables a un gran grupo de empresas de la Unión Europea, entre las que se encuentran operadores de servicios esenciales, proveedores de servicios digitales o entidades de la administración pública. Para estas organizaciones, diferenciadas por factores como el tamaño, el sector y el impacto se establecen dos categorías principales: las entidades esenciales y las entidades importantes.
Entidades esenciales
Las entidades esenciales son organizaciones en sectores de alto riesgo cuyo impacto es altamente relevante para la economía o la sociedad. Según la Directiva NIS2, estas son:
- Operadores en los sectores de:
- Energía: infraestructuras de generación, transmisión y distribución de electricidad; refinerías de petróleo y operadores de sistemas de gas natural.
- Transporte: aeropuertos, puertos marítimos, ferrocarriles y operadores de transporte público.
- Banca: instituciones financieras clave que juegan un papel crucial en la estabilidad del sistema financiero.
- Sanidad: hospitales, clínicas y otros proveedores críticos de servicios sanitarios.
- Agua potable y aguas residuales: operadores responsables del suministro y tratamiento del agua.
- Infraestructuras de los mercados financieros: bolsas de valores y otras plataformas financieras.
- Infraestructuras digitales: centros de datos, redes de telecomunicaciones y proveedores de servicios en la nube.
- Proveedores de redes y servicios públicos de comunicaciones electrónicas.
- Proveedores de servicios de confianza cualificados y registros de nombres de dominio de nivel superior (TLD).
- Entidades de la administración pública a nivel del gobierno central.
- Entidades designadas como «entidades esenciales» en virtud de la Directiva sobre la capacidad de recuperación de las entidades esenciales de la UE.
Debido a su relevancia, este tipo de entidades están sujetas a requisitos más estrictos y a multas más elevadas que las entidades importantes.
Entidades importantes
Las entidades importantes son organizaciones que desempeñan un papel menor que las esenciales, pero muy significativo en la economía y la sociedad. Esta categoría incluye:
- Proveedores de servicios postales y de mensajería.
- Operadores de gestión de residuos: entidades responsables del tratamiento y gestión de residuos.
- Fabricantes y distribuidores de productos químicos esenciales para diversas industrias; empresas dedicadas a la producción, procesamiento y distribución de alimentos; fabricantes de dispositivos médicos, equipos eléctricos y otros productos de la industria manufacturera vitales para la cadena de suministro europea.
- Proveedores de servicios digitales como mercados en línea, motores de búsqueda o plataformas de comercio electrónico o medios sociales.
- Organizaciones de investigación que no sean instituciones educativas.
La principal diferencia entre ambas es el nivel de exigencia de la normativa en cuanto al cumplimiento, las obligaciones de notificación de incidentes y las medidas de seguridad que deben aplicar en sus sistemas de información. Mientras que las Entidades esenciales tienen que cumplir con requisitos más exigentes, las Entidades importantes se enfrentan a medidas más laxas. Prueba de ello es la posibilidad que tienen las autoridades de las entidades importantes de tomar medidas si reciben pruebas de incumplimiento.
Ahora bien, aunque se analice la estructura de la Directiva NIS2 en España, concretamente, y en Europa, de forma general, esta normativa puede aplicarse a entidades no pertenecientes a la Unión Europea que presten este tipo de servicios relevantes al mercado europeo. Incluso, aunque no se encuentren, físicamente, en el territorio de la Unión Europea.
¿Cuáles son las sanciones por no aplicar la normativa NIS2?
Incumplir las medidas de aplicación de la normativa NIS2 acarrea sanciones importantes que dependen de si la empresa en cuestión es considerada como esencial o importante. Para ello, las autoridades nacionales pueden imponer tanto multas financieras como sanciones no financieras a las entidades que no cumplan con los requisitos de ciberseguridad marcados.
Sanciones financieras
Estas sanciones económicas están diseñadas para ser lo suficientemente severas como para tener un efecto disuasorio e incentivar a las organizaciones a tomar las medidas necesarias para garantizar el cumplimiento.
- Para las entidades esenciales, la multa máxima es de 10 millones de euros o el 2% de la facturación anual global de la organización.
- Para las entidades importantes, la multa máxima es de 7 millones de euros o el 1,4% de la facturación anual global de la organización.
Sanciones no financieras
Además de las sanciones económicas, también existe una serie de sanciones no monetarias que las autoridades pueden imponer a las entidades incumplidoras. Entre ellas:
- Órdenes que obliguen a la organización a subsanar las infracciones y a notificar a los clientes de la organización los riesgos potenciales.
- Instrucciones sobre medidas de seguridad específicas que deben aplicarse.
- Auditorías obligatorias de seguridad.
- Prohibiciones temporales de la actividad.
¿Qué medidas hay que aplicar?
Tomando como referencia el artículo 21 de la directiva NIS2, para lograr el cumplimiento de la NIS2, las organizaciones deben tomar las siguientes medidas:
- Evaluar su clasificación como entidades esenciales o importantes.
- Analizar de forma exhaustiva las deficiencias para mejorar las áreas deficientes.
- Desarrollar tanto aplicar políticas como controles de seguridad para identificar vulnerabilidades y llevar a cabo evaluaciones periódicas de riesgos.
- Supervisar las medidas de la entidad y garantizar una gobernanza eficaz a través de la concienciación en materia de ciberseguridad.
- Establecer sólidas capacidades de detección y respuesta a incidentes.
- Gestionar los riesgos de seguridad de la cadena de suministro y aplicar las medidas adecuadas en las relaciones con los proveedores.
- Mantener las medidas actualizadas para estar preparados para auditorías, inspecciones y otro tipo de acciones de control por parte de las autoridades.
A fin de cuentas, las medidas de la Directiva NIS2, a modo de resumen, representan unos mínimos necesarios que las organizaciones deben aplicar para mejorar la calidad de sus sistemas de ciberseguridad. Si quieres gestionar las finanzas de tu negocio de forma segura, ABANCA puede ayudarte.
Para todo lo que engloba a tu información más personal, te recomendamos Llave ABANCA, diseñada para mejorar tu seguridad ante intentos de suplantación de identidad como el phishing.
Ahora que ya sabes qué es la Directiva NIS2, tal vez te interese saber qué es la conexión VPN y cómo puede proteger tus datos. Si te preocupa la seguridad de tus datos más personales, en nuestro blog disponemos de varios artículos que pueden ayudarte a proteger tu información financiera o todo lo que abarque tu legado digital.
Recuerda que los contenidos de este blog tienen carácter informativo. Cualquier actuación motivada por su contenido o por la interpretación de las normas a las que hace referencia deberá ser analizada de forma específica teniendo en cuenta la situación particular de que se trate.