La directiva sobre Seguridad de la Información y las Redes (NIS2) de la Unión Europea sustituye a la directiva NIS de 2016 con el propósito de garantizar un «alto nivel común de ciberseguridad en todos los Estados miembros de la UE» reforzando aún más los requisitos de ciberseguridad en infraestructuras críticas y en aquellas industrias y organizaciones indispensables para el funcionamiento de la economía mundial.
Su objetivo es fortalecer la resiliencia de las infraestructuras críticas y exigir mayores estándares de seguridad en sectores clave. Para cumplir con sus requisitos, las organizaciones deben adaptar su sistema de gestión de seguridad de la información (SGSI) de manera estratégica y estructurada.
La inminencia de su puesta en vigor y cumplimiento exige a las empresas que se encuentren preparadas:
- Evaluación de impacto y alcance
El primer paso para la adaptación a NIS2 es determinar si la empresa entra dentro de las categorías de entidades esenciales o importantes según los criterios de la directiva. Esta clasificación requiere un análisis previo del sector en el que opera, el tamaño y alcance de la organización, así como el nivel de dependencia digital.
- Alineación con normativas y estándares internacionales en los plazos indicados
NIS2 exige la implementación de medidas técnicas y organizativas basadas en el riesgo. Un buen punto de partida es alinear el SGSI con estándares como ISO/IEC 27001, que proporciona un marco estructurado para la gestión de riesgos de ciberseguridad.
- Gestión de riesgos y evaluaciones periódicas
La directiva refuerza la importancia de una gestión de riesgos proactiva. Esto implica identificar y mitigar vulnerabilidades, realizar auditorías periódicas de seguridad, implementar controles de acceso robustos y establecer protocolos de respuesta ante incidentes cibernéticos. Además, es esencial establecer evaluaciones periódicas para detectar y abordar posibles brechas de seguridad antes de que se materialicen como amenazas reales.
- Gobernanza y responsabilidad
NIS2 introduce mayores responsabilidades para la alta dirección, incluyendo sanciones en caso de incumplimiento. Para garantizar la correcta gestión de la seguridad, la empresa debe establecer un comité de ciberseguridad con roles y responsabilidades bien definidos, asegurando que la gestión de la seguridad sea un pilar estratégico.
- Fortalecimiento de la ciberresiliencia
Se deben implementar medidas como la segmentación de redes, protección de datos mediante cifrado además de sistemas de detección y prevención de intrusos. Por otra parte, la planificación de continuidad del negocio debe incluir estrategias de recuperación ante incidentes, lo que permitirá minimizar los tiempos de inactividad en caso de una crisis de seguridad.
- Gestión de la cadena de suministro
NIS2 enfatiza la seguridad en la cadena de suministro, exigiendo a las empresas evaluar los riesgos de proveedores y socios comerciales, dado que estos pueden representar un punto de vulnerabilidad. Se deben establecer acuerdos contractuales con cláusulas de ciberseguridad y realizar auditorías a socios estratégicos para garantizar el cumplimiento de estos requisitos.
- Capacitación y concienciación
El factor humano sigue siendo un eslabón crítico en la seguridad. Las empresas deben desarrollar programas de formación en ciberseguridad para empleados y directivos, así como acciones de concienciación (por ejemplo, realizar simulacros de ataques cibernéticos), reforzando la cultura de seguridad en toda la organización.
- Notificación de incidentes y cumplimiento
NIS2 impone plazos estrictos para la notificación de incidentes de seguridad, con una notificación inicial dentro de las 24 horas siguientes a la detección del incidente y un informe detallado en un plazo máximo de 72 horas. Las empresas deben establecer protocolos claros para la detección, documentación y reporte de incidentes a las autoridades competentes dentro de los plazos establecidos.
En resumen:
Adaptar el sistema de gestión a NIS2 no solo es un requisito regulatorio, sino una oportunidad para fortalecer la seguridad y la resiliencia digital de la empresa. Un enfoque estratégico basado en la gestión del riesgo, el cumplimiento normativo y la concienciación garantizará una transición efectiva hacia este nuevo marco de seguridad cibernética.
