En caso de incumplimiento, la Directiva NIS2 atribuye la responsabilidad directa a la dirección de la empresa de garantizar una protección adecuada contra las ciberamenazas.
MASSIMILIANO GRASSI, REEVO
Índice de temas
Cómo nació la directiva NIS2
Mantener la seguridad y fiabilidad de las redes y sistemas de información es una necesidad crítica para los Estados europeos. La Directiva NIS fue el primer intento formal de la Unión Europea para establecer un marco regulatorio homogéneo para su ciberseguridad. Sin embargo, a medida que las ciberamenazas crecen en número e intensidad, la necesidad de actualizar y fortalecer el sistema regulador para superar estas y otras limitaciones ha ido en aumento.
Cuándo entra en vigor la directiva NIS2 en España
Oficializada con su publicación en el Diario Oficial de la Unión Europea el 27 de diciembre de 2022 y en vigor desde el 16 de enero de 2023, la directiva NIS2 en España sustituirá a la anterior Directiva que quedará derogada a partir del 18 de octubre de 2024.
Pensada para superar las lagunas del Reglamento anterior, NIS2 amplía el ámbito de aplicación a 18 sectores: distinguiendo entre 11 “de Alta Criticidad” y siete “críticos”. También, introduce una nueva clasificación para las entidades operativas, diferenciando entre “entidades esenciales” y “entidades importantes”, en función de criterios como el tamaño y el volumen de negocios anual. Todas las entidades deberán tener en consideración aspectos como la gobernanza, la gestión y notificación de incidentes, el intercambio de información de ciberseguridad o la gestión de riesgos de ciberseguridad.
¿Qué sucede si no se cumple con la Directiva NIS2?
En caso de incumplimiento, la Directiva NIS2 atribuye la responsabilidad directa a la dirección de la empresa de garantizar una protección adecuada contra las ciberamenazas. Las sanciones por incumplimiento serán significativamente más elevadas que las previstas en la directiva anterior.
Cómo prepararse para NIS2
El proceso de adaptación a la nueva legislación requiere de una preparación cuidadosa y sistemática para cumplir con sus requisitos.
El primer paso es determinar si la empresa entra en el ámbito de aplicación de la Directiva NIS2, es decir, si opera en industrias críticas sujetas a requisitos de ciberseguridad. En el caso de ya estar cubierta por la directiva anterior (NIS), es aconsejable, no obstante, la realización de un análisis de brechas para identificar cualquier deficiencia.
En el supuesto de quedar fuera de la esfera de NIS2, la empresa debe tener en cuenta que dicha situación puede cambiar, si se convierte en proveedora de empresas pertenecientes a sectores críticos.
Evaluación de riesgos y procesos críticos
Tras ello y una vez determinada la cobertura de NIS2, la empresa debe mapear sus procesos comerciales relacionados con la seguridad de la información. La evaluación del impacto empresarial a escala organizativa puede poner de relieve los procesos críticos y su dependencia de las redes y los sistemas de información. Esto le permite evaluar el riesgo asociado con cada proceso e identificar dónde es mayor el peligro de accidentes graves. Por ejemplo, la evaluación de riesgos sirve para priorizar la ciberseguridad de los procesos clave.
Cuando se identifican vulnerabilidades, es esencial implementar medidas de seguridad concretas. En este ámbito es importante confiar en socios tecnológicos de servicio que estén certificados y la certificación ISO 27001 puede ser una excelente manera de viajar en el camino correcto para garantizar el cumplimiento de los requisitos NIS2, dada su mención específica en la directiva.
Es crucial contar con un plan para proteger los procesos y sistemas comerciales, monitorizándolos sistemáticamente, para abordar cualquier amenaza emergente
Cómo gestionar los riesgos
Para las empresas, quizá el aspecto más relevante se aborda en el artículo 21 de la Directiva 2022/2555 de la UE, denominado ”medidas de gestión de riesgos en materia de ciberseguridad”, sustentado en un enfoque multirriesgo destinado a proteger las redes y los sistemas de información y su entorno físico frente a incidentes.
Entre dichas medidas, es crucial contar con un plan para proteger los procesos y sistemas comerciales, monitorizándolos sistemáticamente, para abordar cualquier amenaza emergente.
La preparación oportuna también es transcendental. Obtener el apoyo de la dirección, la aprobación de las partes interesadas y los recursos necesarios lleva tiempo. Es importante anticiparse a los retrasos y comprometerse con una planificación rigurosa con plazos precisos.
Otro punto que no debe pasarse por alto se refiere al análisis de su cadena de suministro de TI: es esencial evaluar a los proveedores de TI, especialmente a aquellos críticos para la continuidad del negocio, para identificar vulnerabilidades contractuales, operativas o técnicas.
Establecer una cultura para adaptarte a la directiva NIS2 en España
Por último, es fundamental desarrollar una cultura corporativa orientada a la ciberseguridad y un alto nivel de concienciación sobre la seguridad de la información entre los empleados. Todos deben ser conscientes de sus roles y responsabilidades dentro del ecosistema de seguridad de la información.
