INICIO > BLOG

Normativa NIS 2

La NIS 2, normativa en ciberseguridad en Europa

Estado actual de la normativa en ciberseguridad

Europa le da cada vez más importancia a las ciberamenazas que afectan a la seguridad estratégica de todo el continente, hasta tal punto que va a responsabilizar a los consejos de dirección de las empresas que forman parte de sectores estratégicos de desplegar medidas de seguridad informática.

La nueva legislatura recientemente aprobada incluye sanciones y la posibilidad de inhabilitar para ejercer sus cargos a los responsables hacer que las empresas se ajusten a estas directrices en materia de ciberseguridad. Esta obligación significa un aumento de las exigencias que la UE impone a los consejos de administración en los últimos tiempos.

La ciberseguridad ha pasado a ser prioridad en el orden de preocupaciones de los países europeos a raíz del conflicto en Ucrania. Rusia ha usado los ataques en Internet como parte de la estrategia militar y como respuesta ante las sanciones impuestas, esto ha hecho que se dispare la preocupación de las empresas europeas.

Es por ello que ha aumentado la necesidad de protección tecnológica en sectores estratégicos, formar un muro digital que las autoridades europeas han expandido a sectores como el alimentario, gestión de agua potable y residual, servicios de mensajería o infraestructuras digitales, además de los que ya estaban protegidos como el energético, transportes, financiero o sanitario. Se llevará a cabo mediante reglamentos aplicados directamente a entidades financieras, aseguradoras, servicios de pago, fondos de inversión y proveedores de servicios de criptoactivos, etc.

Por su parte la normativa NIS 2 obligará a empresas grandes y medianas a reforzar sus medidas de seguridad informática en un plazo de 21 meses, para lo que se ha lanzado una convocatoria de ayudas por valor de 176 millones de euros para financiar la inversión en ciberseguridad, aunque dada la magnitud del reto, la cantidad puede que se quede un poco corta.

NIS 2

La normativa NIS 2

La NIS 2 o Reglamento de Seguridad de Redes y Sistemas de Información es la normativa de la UE que establece un marco de seguridad informática para todos los Estados miembros y se aplica a todas las organizaciones que prestan servicios esenciales en sectores clave como transporte, energía, aguas, servicios financieros y salud, y establece un conjunto de exigencias de ciberseguridad para proteger sus sistemas y datos.

En España la autoridad encargada de velar por el cumplimiento de la normativa NIS 2 es la Agencia Española de Protección de Datos. Algunas entidades que están relacionadas con los sectores mencionados son la Asociación Española de Empresas de Transporte de Pasajeros en Autocar (ASETRA), la Asociación Española de Empresas de Servicios de Agua y Saneamiento (ASEAS), la Asociación Española de Instituciones de Inversión Colectiva y Fondos de Pensiones (INVERCO) o la Asociación Española de Fabricantes de Equipos Sanitarios (ASEFAS).

Las exigencias de la normativa NIS 2 en materia de ciberseguridad varían según el tipo de organización y su sector, pero se establecen un conjunto de requisitos generales aplicados a todas las organizaciones que prestan servicios esenciales en los sectores como:

  • La implementación de políticas y procedimientos de ciberseguridad adecuados al sector y al tamaño de la organización.
  • La realización de pruebas y evaluaciones periódicas de la seguridad de las redes y sistemas de información para detectar y corregir vulnerabilidades.
  • La formación del personal en materia de ciberseguridad para garantizar que estén conscientes de los riesgos y sepan cómo protegerse contra ellos.
  • La obligación de reportar cualquier incidente de ciberseguridad a las autoridades competentes en un plazo determinado.
  • La implementación de medidas de seguridad adecuadas para proteger la información confidencial y evitar su pérdida o robo.
  • La adopción de medidas para minimizar el impacto de posibles incidentes de ciberseguridad en caso de que ocurran.

Pueden existir otros requisitos adicionales según el sector y la organización en cuestión.

Esta normativa puede hacer crecer el sector de la ciberseguridad ya que establece un conjunto de exigencias que puede generar una demanda creciente de servicios de ciberseguridad por parte de dichas organizaciones y establece un marco para la cooperación y la coordinación entre los Estados miembros en materia de ciberseguridad, lo que puede facilitar la expansión de las empresas españolas de ciberseguridad a otros países de la UE.