Prepare su cumplimiento con NIS2

La directiva NIS2 entrará en vigor pronto. Aún tienes la oportunidad de prepararte y garantizar el cumplimiento de los nuevos requisitos de ciberseguridad.

1. Origen de la Directiva NIS

La Directiva NIS (Redes y Sistemas de Información), introducida en 2016, fue la primera legislación de la Unión Europea dedicada a la ciberseguridad. Su objetivo era mejorar la seguridad de las infraestructuras críticas, como la energía, el transporte y las finanzas, tras el aumento de las amenazas cibernéticas en estos sectores. Sin embargo, con el continuo incremento de los ciberataques, especialmente el ransomware, y la evolución de las tecnologías, era necesaria una actualización para abordar las deficiencias de NIS1.

Es en este contexto que se desarrolló la directiva NIS2. Esta directiva representa una actualización importante, diseñada para proteger mejor las infraestructuras críticas mediante requisitos más estrictos y la ampliación de los sectores cubiertos.

2. Crecimiento de los attaques 

Este aumento refleja la creciente amenaza de los ciberataques, en particular el ransomware y los ataques dirigidos a infraestructuras críticas, organismos públicos y pequeñas/medianas empresas (PYME), lo que justifica medidas más estrictas como las introducidas por NIS2.

La ciberseguridad se ha convertido en una gran preocupación, especialmente con el aumento del ransomware. Según informes, los ciberataques han intensificado tanto en frecuencia como en sofisticación, afectando infraestructuras esenciales. Por ejemplo, un ataque importante tuvo como objetivo el laboratorio británico Synnovis en junio de 2024, con una demanda de rescate de 40 millones de libras esterlinas. Este ataque es emblemático de la vulnerabilidad de los servicios esenciales ante las amenazas cibernéticas.

3. NIS2 – ¿Qué hay de nuevo? 

NIS2 se introdujo para abordar las deficiencias de la primera directiva. Su objetivo es asegurar un nivel de seguridad más uniforme y fortalecido en toda la UE.

Aquí algunos de los cambios más destacados:

• Ampliación del Alcance: NIS2 incluye nuevos sectores como los servicios postales, la gestión de residuos, la producción alimentaria y las redes sociales.
• Gestión de Riesgos en la Cadena de Suministro: Las empresas ahora deben evaluar y proteger toda su cadena de suministro, incluyendo proveedores de servicios críticos.
• Sanciones Más Severas: Las sanciones por incumplimiento son más estrictas, con multas de hasta 10 millones de euros o el 2% de la facturación global.
• Responsabilidad de la Gerencia: Los ejecutivos de las empresas cubiertas son directamente responsables de gestionar la ciberseguridad y pueden ser considerados personalmente responsables en caso de incumplimiento.

4. Alcance – ¿A quién afecta?

El alcance de NIS2 se ha ampliado significativamente. Además de las empresas medianas y grandes en sectores críticos, la directiva impone obligaciones estrictas de ciberseguridad a subcontratistas, proveedores y empleados de organizaciones críticas. Esto significa que la protección ya no se limita solo a la empresa principal, sino que se extiende a todo el ecosistema de actores involucrados, asegurando una resiliencia de extremo a extremo.

Comparación del Alcance de los Sectores Cubiertos

NIS2 añade sectores como la gestión de residuos, la producción de alimentos, la industria química, así como redes sociales y servicios digitales.

Comparación del Número de Entidades Afectadas

5. ¿Cuáles son las obligaciones específicas para las empresas afectadas?  

Las empresas cubiertas por NIS2 deben cumplir con varias obligaciones específicas para fortalecer su ciberseguridad. Aquí los requisitos principales:

• Gestión de Riesgos de Ciberseguridad: Las empresas deben implementar políticas sólidas para evaluar, prevenir y gestionar los riesgos de ciberseguridad, incluyendo:
• Análisis de riesgos y vulnerabilidadesGestión de incidentes de seguridadImplementación de controles organizativos y técnicos como cifrado, control de acceso y gestión de activos.
• Gestión de la Cadena de Suministro: NIS2 requiere que las empresas aseguren sus cadenas de suministro, evaluando y gestionando los riesgos relacionados con proveedores y contratistas para asegurar que también cumplan con los estándares de ciberseguridad.
• Medidas de Continuidad Operativa: Las empresas deben adoptar planes de continuidad operativa y recuperación de desastres, garantizando la capacidad de mantener o restablecer rápidamente los servicios esenciales en caso de un incidente grave.
• Notificación de Incidentes: Las empresas deben informar sobre incidentes significativos de ciberseguridad a las autoridades competentes en un plazo definido. NIS2 introduce requisitos más estrictos en cuanto a la rapidez y el contenido de los informes de incidentes.
• Responsabilidad de la Gerencia: Los ejecutivos deben aprobar las medidas de gestión de riesgos y asegurar su efectiva implementación, asumiendo responsabilidad personal en caso de incumplimiento.

Estos requisitos están orientados a fortalecer la resiliencia de las empresas ante amenazas cibernéticas y asegurar una ciberseguridad más uniforme en toda la UE.

6. Sanciones Más Severas

Las sanciones bajo la directiva NIS2 son estrictas: las entidades esenciales se enfrentan a multas de hasta 10 millones de euros o el 2% de la facturación anual global, mientras que las entidades importantes pueden enfrentar sanciones de hasta 7 millones de euros o el 1.4% de la facturación. Además, la dirección de la empresa puede ser considerada personalmente responsable por el incumplimiento, aumentando la presión en la gestión de riesgos de ciberseguridad.

7. Prepárese Ahora con SEC-IT

Es crucial que las empresas comiencen a prepararse para cumplir con NIS2. La directiva debe ser transpuesta a las leyes nacionales de los Estados miembros de la UE antes del 17 de octubre de 2024, con la implementación a partir del 18 de octubre de 2024. Dado el alcance de las nuevas obligaciones, como la gestión de riesgos de ciberseguridad, la seguridad de la cadena de suministro y la responsabilidad incrementada de la dirección, se recomienda adoptar una postura proactiva cuanto antes.

En SEC IT, aprovechamos nuestra experiencia para abordar los riesgos de manera pragmática y acorde con las demandas reales. Ofrecemos una organización operativa sostenible, perfectamente alineada con los recursos y necesidades de cada organización.

En conformidad con los requisitos de NIS2, nuestra gama completa de servicios ayuda a las empresas a cumplir con las obligaciones de la nueva directiva:

• Evaluación NIS2: Evaluación de la conformidad actual y desarrollo de una hoja de ruta de conformidad.
• Implementación de un Marco de Seguridad: Desarrollo de una arquitectura de seguridad robusta.
• Gestión Operativa: Gestión diaria de riesgos e incidentes.
• Supervisión Estratégica: Monitoreo y gestión de la ciberseguridad a nivel decisional.

Este enfoque asegura una transición fluida hacia la conformidad total para nuestros clientes, mejorando al mismo tiempo su resiliencia contra amenazas cibernéticas.

¿Por Qué Elegir SEC IT?

• Experiencia Reconocida: Hemos apoyado con éxito a PYMES, empresas de tamaño mediano y organizaciones públicas en su transición hacia la conformidad con NIS2.
• Metodologías Comprobadas: Nuestros sistemas han sido validados a través de programas como France Relance Cyber y Diag Cyber PME, asegurando un enfoque sólido y confiable.
• Soporte Sostenible: Proveemos transferencia de habilidades y apoyo continuo para asistir a sus equipos a largo plazo.
• Promoción del Compromiso con la Ciberseguridad: Nuestra experiencia específica ayuda a nuestros clientes a promover su compromiso con la ciberseguridad ante sus propios clientes (B2B), fortaleciendo su imagen de marca.
• Objetividad e Independencia: Operamos de forma independiente de editores, fabricantes e integradores, garantizando asesoramiento objetivo y a medida para sus necesidades.
• Competencias de Auditoría Reconocidas (PASSI): Estamos certificados por el gobierno francés.

Al elegir SEC-IT, se beneficia de un socio de confianza para navegar en el complejo mundo de la ciberseguridad y asegurar la conformidad con NIS2.