En octubre de 2024 se hace efectiva la directiva NIS2 y, no solo redefine el marco de ciberseguridad en Europa, sino que también se inaugura una era de transparencia. En comparación con la primera directiva NIS, esta nueva medida amplía el alcance a cerca de 160.000 empresas e instituciones de 27 Estados miembros. También tendrá un impacto estructural en las relaciones entre la alta dirección y las políticas de seguridad a nivel operativo. La compañía de ciberseguridad Check Point, explica cómo la NIS2 va a transformar la cultura corporativa hacia una mayor transparencia y responsabilidad en materia de ciberseguridad.
• Cultura de ciberseguridad. Con la NIS2, la gestión de ciberseguridad ya no es solo un deber técnico, sino una responsabilidad ejecutiva, lo que lleva a una mayor visibilidad de las prácticas y fallos de seguridad dentro de las empresas. Este enfoque podría transformar la forma en las que las empresas discuten y divulgan sus estrategias y vulnerabilidades de ciberseguridad.
• Penalizaciones significativas. Esta nueva directiva lleva a introducir multas de hasta 10 millones de euros o el 2% del volumen de negocios anual global de la entidad infractora por incumplimiento de sus obligaciones.
No cumplir con la directiva NIS2 puede conllevar multas de hasta 10 millones de euros o el 2% del volumen de negocios anual global de la entidad infractora
• CISO y CEO, de la mano. Esta nueva normativa ha querido hacer referencia a la diferencia entre dos cargos empresariales en cuanto a responsabilidades de ciberseguridad se refiere. La NIS2 promueve una división clara de responsabilidades entre las funciones del CISO y del DPO, permitiendo un diálogo más enfocado y especializado sobre la ciberseguridad y la protección de datos, respectivamente. Esta estructura fomenta una colaboración más efectiva y una toma de decisiones más informada en la cúpula empresarial.
• Respuestas y gestión de incidentes. La NIS2 introduce un proceso de notificación de incidentes en fases, que obliga a las empresas a informar a las autoridades dentro de las primeras 24 horas de haber detectado un incidente significativo. Esto permite una respuesta más rápida y coordinada a los ciberataques, minimizando el impacto potencial.
• Formación continua para la directiva. NIS2 establece la necesidad de que los directivos estén informados sobre las tendencias de ciberseguridad. Esto subraya la importancia de la educación continua en la alta dirección para un liderazgo eficaz.
• Preparación proactiva para la conformidad. Los pasos para la implementación de la NIS2 deben comenzar ahora, con medidas organizativas y técnicas que van desde la revisión interna hasta la formación específica, preparando a las empresas para cumplir no solo con la NIS2, sino también con el próximo Acta de Resiliencia Cibernética (CRA) de la UE.