Directiva NIS2

Se cumple la fecha límite para la entrada en vigor de la directiva NIS2. Ahora o nunca.

Se cumple el plazo para adoptar y publicar las medidas necesarias para cumplir con la directiva NIS2, la nueva normativa de la Unión Europea de ciberseguridad.

La NIS2 es la nueva directiva europea de ciberseguridad que refuerza las medidas para proteger las redes y sistemas de información de las entidades que se dedican a prestar servicios esenciales o digitales. Su objetivo es aumentar su capacidad frente a ciber amenazas y garantizar la seguridad de infraestructuras críticas en toda la Unión Europea.

Esta directiva fue aprobada formalmente en noviembre del año 2022. Se publicó en el Diario Oficial de la UE (DOUE) el 27 de diciembre de ese mismo año. Y entró en vigor, 20 días después de su publicación, el 16 de enero de 2023.

Los Estados miembros, deben adoptar y publicar las medidas necesarias para cumplir con lo establecido en esta directiva, publicando el texto de dichas disposiciones, antes del 17 de octubre del 2024, las cuales resultarán de aplicación a partir del 18 de octubre de 2024. Te contamos cuáles pueden ser las sanciones si no estás al día.

¿A quién afecta la NIS2? El nuevo marco de ciberseguridad 

La ejecución de la normativa que llevaba meses anunciándose ya es una realidad pero, ¿Sabes si afecta a tu empresa? 

La normativa NIS2 incluye, a diferencia de la NIS, a empresas que operan en sectores críticos, como la energía, la sanidad, la alimentación, las finanzas y los servicios digitales. Estas entidades deben haber actualizado ya sus infraestructuras y protocolos de ciberseguridad para cumplir con los nuevos estándares europeos. Si tu empresa pertenece a uno de estos sectores, ya no es momento de evaluar: es hora de cumplir.

Aunque tu empresa no esté obligada a cumplir con la directiva NIS2, adoptar estas prácticas de ciberseguridad podría ser una ventaja competitiva. Invertir en protección avanzada no solo reduce el riesgo de ataques y daños a la reputación de la entidad, sino que también puede ser un valor añadido para tus socios y clientes. Puesto que cada vez valoramos más la seguridad en nuestras relaciones comerciales. Al adelantarte en implementar estas medidas, tu organización demuestra un compromiso proactivo con la seguridad y la confiabilidad, fortaleciendo la confianza en tu marca.

El incumplimiento ya no es una opción: las sanciones son inminentes

Todas las entidades dentro del ámbito de aplicación de la directiva deberán aplicar las medidas para la gestión de riesgos de ciberseguridad, así como cumplir con las obligaciones de notificación de incidentes de ciberseguridad.

En cuanto a la gestión de riesgos de ciberseguridad, la Directiva NIS2 recoge un listado mínimo de medidas técnicas, operativas y de organización para gestionar los riesgos de seguridad de los sistemas y redes de información, así como el entorno físico de dichos sistemas. Estas medidas deben ser utilizadas por las entidades esenciales en sus operaciones o en la prestación de sus servicios para prevenir o minimizar las repercusiones que puedan tener los incidentes en los destinatarios de sus servicios.

Conocer qué tienes que hacer para cumplir con la NIS2 es primordial. Las sanciones económicas son relevantes, aunque no son el único riesgo. La Directiva NIS2 otorga a las autoridades nacionales una lista mínima de poderes coercitivos hacia las entidades afectadas en caso de incumplimiento, entre algunos de los que se incluyen:

  • Apercibir por incumplimiento.
  • Ordenar hacer públicos los aspectos de incumplimiento.
  • Imponer multas administrativas.
  • Prohibir temporalmente a los responsables de la gestión a nivel de director ejecutivo o representante legal el ejercicio de funciones directivas (aplicable únicamente a las entidades esenciales, no a las entidades importantes).

Las empresas que sufran incidentes cibernéticos sin haber adoptado las medidas de seguridad contempladas en la NIS2 se enfrentarán a demandas civiles si sus negligencias afectan a terceros.

El incumplimiento de la NIS2 en España conlleva sanciones que varían entre el 2% de los ingresos anuales a escala mundial ó 10 millones de euros, la cifra que mayor valor presenta para la entidad esencial y del 1,4 % de los ingresos globales anuales a nivel mundial ó 7 millones de euros, la cifra que mayor valor presenta para la entidad importante. Sin embargo, las consecuencias del incumplimiento van más allá de lo económico. La confianza de los clientes y los socios comerciales puede verse gravemente afectada, dañando irreversiblemente la reputación de la organización.

¿Qué cambios conlleva la NIS2? 

Adaptarse a esta normativa no solo significa implementar nuevas tecnologías o fortalecer las infraestructuras de ciberseguridad.

La directiva NIS2 exige también cambios en la dirección interna. Se incluyen en estos cambios, la asignación de responsabilidades claras, la capacitación continua de los empleados y la revisión constante de los protocolos de seguridad.

Además, la NIS2 introduce la obligación de realizar auditorías periódicas y evaluar el riesgo. Lo que permite a las empresas identificar vulnerabilidades antes de que se conviertan en amenazas.

Adaptarse a la NIS2 no es una elección

Nos encontramos en el punto de no retorno. Con la NIS2 ya en vigor, las organizaciones que no hayan cumplido con sus obligaciones están expuestas a sanciones inmediatas. Y, a una vulnerabilidad crítica en sus sistemas de información.

El tiempo de adaptación ha terminado. Las empresas deben actuar de manera inmediata para cumplir con la NIS2 asegurando que sus infraestructuras cumplen con los nuevos requisitos.

Si tu organización aún no ha implementado las medidas necesarias, no puedes permitirte más demoras. Descubre cómo Gesprodat puede ayudarte en este proceso, garantizando que cumplas con la normativa y evites sanciones. 

Share: