La nueva Directiva NIS2 sobre ciberseguridad introduce cambios de cumplimiento significativos para muchas empresas de la UE. El objetivo de esta nueva normativa es mejorar la resiliencia de la infraestructura crítica y alinear los esfuerzos de ciberseguridad en toda la Unión Europea. NIS2 entrará en vigor a finales de 2023, por lo que los Estados miembros tienen hasta septiembre de 2024 para transponer la Directiva a sus propias leyes nacionales, momento en el que las empresas deberán cumplir con los requisitos específicos de cada país.
La Directiva NIS, adoptada por primera vez en 2016, fue la primera legislación sobre ciberseguridad en toda la UE. Desde CyberArk analizamos los cinco cambios principales que abarca NIS2 y cómo afectan a las empresas españolas.
1. Un alcance más amplio. La lista de sectores cubiertos por NIS2 es mucho más amplia que antes, además de que proporciona más detalles sobre qué entidades están sujetas a requisitos. Así, será obligatoria para cualquier entidad con más de 250 empleados y una facturación anual de más de 50 millones de euros y/o un balance anual superior a 43 millones de euros. Y en determinadas circunstancias, las entidades deben cumplir independientemente del tamaño de la empresa, como los proveedores de redes de comunicaciones electrónicas.
Depende de cada Estado miembro clasificar estas entidades como “esenciales” (en el caso de los operadores de infraestructura crítica o ciertos fabricantes) o “importantes” (proveedores de servicios digitales o proveedores de servicios gestionados). Y aunque ambos grupos deben cumplir con los mismos requisitos, la supervisión a las entidades esenciales será más estricta.
2. Requisitos de seguridad reforzados. NIS2 introduce un conjunto de medidas de ciberseguridad de referencia que cada entidad debe abordar, incluyendo el análisis de riesgos y las políticas de seguridad del sistema de información, la respuesta a incidentes, la continuidad del negocio y la gestión de crisis, la seguridad de la cadena de suministro, la evaluación de la eficacia de las medidas de gestión de riesgos y la divulgación de vulnerabilidades y encriptación.
3. Sanciones más severas por incumplimiento. Las multas por incumplimiento podrían alcanzar hasta el 2% de la facturación anual o 10 millones de euros, lo que suponga mayor cuantía.
4. Plazos más cortos de notificación de incidentes. NIS2 aclara las obligaciones con disposiciones más precisas acerca del proceso de divulgación, el contenido y el cronograma. En particular, las empresas afectadas deben presentar un informe inicial a las autoridades dentro de las 24 horas posteriores al conocimiento de un incidente y una actualización final al cabo de un mes.
5. Supervisión y rendición de cuentas del consejo de administración. Por primera vez, NIS2 impone específicamente una obligación a los órganos de gestión, incluidos los (incluidos los miembros de C-Suite) para implementar y cumplir con medidas de seguridad reforzadas y alude a las posibles consecuencias de no hacerlo.