INICIO > BLOG

Directiva NIS2 de ciberseguridad

Directiva NIS2 de ciberseguridad

España ha visto un aumento en la cantidad y complejidad de los ciberataques. Durante el primer trimestre de 2024, se ha registrado un promedio semanal de 1.152 ciberataques por empresa. Este incremento constante de ciberataques destaca la necesidad de implementar una normativa más robusta y efectiva para proteger a las empresas.

La NIS2 es la directiva europea que establece medidas para un alto nivel común de ciberseguridad en toda la Unión Europea. Las empresas que no se adapten a la nueva Directiva NIS2 pueden enfrentar multas de hasta 10 millones de euros o el 2% de su facturación global anual.

Este nuevo marco legal introduce varias medidas para fortalecer la ciberseguridad en empresas de muchos sectores críticos para la economía, exigiendo la implementación de medidas adecuadas para proteger sus redes y sistemas de información.

Los objetivos clave de la Directiva NIS2 son:

  • Establecer un conjunto estándar de requisitos de ciberseguridad en todos los Estados miembros de la UE.
  • Ampliar el ámbito de aplicación de la directiva para cubrir más sectores y entidades.
  • Introducir obligaciones de notificación de incidentes y medidas coercitivas más estrictas.
  • Promover una mejor colaboración e intercambio de información entre los Estados miembros.
  • Garantizar un alto nivel de resistencia en materia de ciberseguridad como norma en toda la UE.

¿Cuándo será efectiva la Directiva NIS2 en España?

La Directiva NIS2 se hizo efectiva el 16 de enero de 2023, tras su publicación en el Diario Oficial de la Unión Europea. Sin embargo, los Estados tienen hasta el 17 de octubre de 2024 para transponer la directiva y adoptar y publicar las medidas necesarias para su cumplimiento.

Asimismo, los Estados miembro deben comunicar el régimen sancionador aplicable por incumplimiento antes del 17 de enero de 2025 y, para el 17 de abril de 2025, deben haber elaborado una lista de entidades esenciales e importantes.

¿A qué empresas afecta la NIS2?

  • Por un lado, están las llamadas ‘esenciales’.

Estas son las que pertenecen a sectores de alta criticidad para la economía y la sociedad, como energía, transporte, banca, infraestructura del mercado financiero, salud, agua potable y distribución, infraestructura digital y servicios públicos.

  • Por otro lado, tenemos la categoría de las compañías consideradas ‘importantes’.

Incluye a aquellas que, aunque no operan en sectores críticos, podrían tener un impacto significativo, como proveedores de servicios digitales, servicios postales y de mensajería, gestión de residuos, fabricación de productos críticos y administraciones públicas.

En cuanto al tamaño de la empresa, NIS2 se aplicará generalmente a medianas y grandes empresas, pero no a las más pequeñas. Específicamente, en el ámbito de la mediana empresa, serán aquellas con entre 50 y 250 empleados, y entre 10 y 50 millones de euros de ingresos anuales. Mientras que, a nivel de grandes empresas, deberán cumplir con NIS2 las organizaciones con más de 250 empleados y 50 millones de euros de ingresos anuales.

Independientemente del tamaño o la facturación, hay casos en los que una pequeña empresa puede tener que cumplir con NIS2. Por ejemplo, si su actividad es considerada crítica o es el único proveedor de un servicio esencial en un Estado, entre otras excepciones.

Obligaciones de la normativa europea NIS2

Esta normativa pretende que el comité de dirección tome conciencia de la necesidad de tomar medidas de protección de la información., y responsabilizará con nombres propios a la alta dirección si se demuestra una negligencia grave tras un incidente de ciberseguridad.

Además, tendrán que realizar auditorías y pruebas de forma regular para evaluar la eficacia de sus medidas de seguridad, así como proporcionar formación y concienciación sobre ciberseguridad a su personal.

También estarán sujetas a requisitos de notificación de incidentes. Así pues, las empresas tendrán que emitir una alerta temprana en un plazo de 24 horas desde que se haya tenido constancia del incidente. 72 horas después, deberán realizar una actualización. Y dispondrán de un mes como máximo para comunicar una notificación final con la presentación del informe definitivo.

¿Qué pasa si no cumples la normativa NIS2?

Las empresas que estén sujetas a la NIS2 pero no la cumplan podrían enfrentar diversas implicaciones legales, incluidas multas y otras sanciones similares a las del RGPD. Estas sanciones varían según el tipo de empresa. Para las entidades ‘esenciales’, las multas pueden llegar hasta los 10 millones de euros o un máximo del 2% del volumen de negocio anual global del ejercicio financiero anterior. En el caso de las entidades ‘importantes’, las multas pueden alcanzar hasta 7 millones de euros o un máximo del 1,4% del volumen de negocio anual.

Visita nuestra web https://dolbuck.net y síguenos en FacebookTwitter e Instagram.