Los ciberataques son cada vez más frecuentes y sofisticados en toda la UE, pero menos de una de cada tres organizaciones se siente preparada para prevenirlos o gestionarlos. A medida que aumentan las amenazas digitales, la UE ha convertido la ciberseguridad en una prioridad a largo plazo, introduciendo una serie de normativas para reforzar la resiliencia y proteger las infraestructuras críticas.

La Directiva NIS original tenía como objetivo elevar los estándares de ciberseguridad mediante la mejora de las capacidades nacionales, la cooperación transfronteriza más sólida y normas claras de gestión de riesgos e informes de incidentes. Sin embargo, solo se aplicaba a un grupo limitado de proveedores de servicios esenciales, lo que dejaba a muchos sectores sin regular y vulnerables. Para resolver estas carencias, la Comisión Europea revisó la directiva, dando lugar a la adopción de NIS2.

¿Qué es NIS2? Una Directiva Moderna para una Europa Interconectada

La Directiva sobre la Seguridad de las Redes y de la Información (NIS2) entró en vigor el 16 de enero de 2023. Como continuación y expansión de la directiva anterior, NIS2 fue diseñada para ampliar su alcance y corregir las deficiencias de la NIS original.

NIS2 sigue centrada en reforzar la seguridad de los sistemas de redes y de información en toda la UE. Amplía el alcance de la directiva, eleva los estándares de ciberseguridad e introduce normas más estrictas en materia de gobernanza, informes y control de la cadena de suministro.

¿Cuáles son los Requisitos Clave de NIS2?

La Directiva NIS2 establece normas claras en cuatro áreas principales: Gestión de riesgos, Obligaciones de notificación, Responsabilidad corporativa, y Continuidad del negocio. El incumplimiento en estas áreas puede conllevar sanciones estrictas. A continuación se detallan cada una de ellas.

Gestión Robusta del Riesgo

La directiva introduce medidas para fortalecer la gestión y mitigación del riesgo cibernético. No impone tecnologías específicas, sino que define resultados clave y áreas de control que las organizaciones deben abordar, especialmente en:

1. Implementación de autenticación multifactor (MFA), cuando sea aplicable
2. Cifrado sistemático y copias de seguridad de datos sensibles para una recuperación rápida
3. Uso de firewalls y sistemas de detección/prevención de intrusiones (IDS/IPS)
4. Establecimiento de procedimientos claros de respuesta a incidentes
5. Análisis de ciberseguridad de proveedores y terceros

Medidas de Responsabilidad Corporativa para un Liderazgo Responsable

En NIS2, la alta dirección es directamente responsable del cumplimiento. Se traslada la responsabilidad al nivel más alto, convirtiendo la ciberseguridad en una prioridad de la dirección y no una cuestión operativa secundaria. El equipo directivo debe liderar, aprobar, supervisar y demostrar su implicación activa. Algunas acciones concretas incluyen:

1. Definir y aprobar medidas de ciberseguridad alineadas con la directiva
2. Recibir formación sobre ciberseguridad para mantenerse actualizados ante amenazas y requisitos
3. Asumir la responsabilidad ante fallos de seguridad

Obligaciones Estrictas de Notificación de Incidentes

Las empresas deben notificar rápidamente cualquier incidente relacionado con la ciberseguridad a las autoridades nacionales competentes. El plazo es el siguiente:

1. Notificación temprana: dentro de las 24 horas desde que ocurre el incidente
2. Informe completo: en las 72 horas siguientes, incluyendo descripción y medidas de mitigación
3. Informe final: en el plazo de un mes, detallando medidas de recuperación y mejoras a largo plazo
4. El incumplimiento de estos plazos conllevará multas severas y un mayor escrutinio

Continuidad del Negocio para una Ciberresiliencia Mejorada

En el proceso de recuperación post-incidente, las organizaciones deben preparar un plan estructurado de continuidad del negocio, que puede incluir:

1. Minimizar el tiempo de inactividad mediante procedimientos de recuperación y emergencia
2. Crear equipos de respuesta ante crisis para agilizar la recuperación de incidentes

¿A Quién Afecta? Entendiendo el Alcance Ampliado de NIS2

Los sectores incluidos en NIS2 se clasifican como de Alta criticidad u Otros sectores críticos (según el Anexo I y Anexo II).

Con el aumento del número de sectores, más entidades públicas y privadas están ahora sujetas a la directiva. Puedes comprobar si tu empresa entra dentro del alcance si cumple con lo siguiente:

1. Tu empresa pertenece a uno de los sectores del Anexo I o II
2. Es una entidad importante: empresa mediana (al menos 50 empleados o balance superior a 10 millones de euros)
3. Es una entidad esencial: empresa grande (al menos 250 empleados o facturación superior a 50 millones de euros y balance mayor a 43 millones)
4. Las empresas fuera de la UE también están afectadas si ofrecen servicios críticos dentro del territorio de la Unión

Cómo Simplificar el Cumplimiento con NIS2 gracias a osapiens HUB

El osapiens HUB for NIS2 ofrece una solución escalable y optimizada para que empresas de cualquier tamaño cumplan con la directiva de manera eficiente y transparente. Desarrollado junto con expertos en ciberseguridad de VICCON, este sistema es conforme a la ley desde su diseño y se ajusta totalmente a los requisitos de NIS2. Además, incluye consultoría experta opcional.

La solución integra gestión de riesgos, compras y gobernanza de proveedores en una única plataforma, abarcando riesgos cibernéticos, temas ESG y más. Entre sus funcionalidades se incluyen: análisis de riesgos, informes de incidentes, gestión de casos y automatización para verificar y documentar el cumplimiento de los proveedores.

Los flujos de trabajo guiados reducen el esfuerzo manual, se integran fácilmente con las estructuras existentes y simplifican incluso los procesos más complejos.