Estos son los los 5 pilares a tener en cuenta para el cumplimiento de NIS2

La historia se repite, al igual que ocurrió con el Reglamento General de Protección de Datos, culpable de que muchas empresas iniciasen procesos clave como mapear sus datos o nombrar un DPO, la directiva NIS2 parece estar sentando las bases de un nuevo progreso y se espera que anime a miles de empresas a aumentar su nivel de ciberseguridad. Algo muy positivo en un contexto en el que los ciberataques no dejan de aumentar y pueden literalmente suponer el fin de una empresa. 

La directiva NIS2 entrará en vigor en la segunda mitad de 2024 con el objetivo de mejorar la ciberseguridad. La fecha clave no es otra que el 17 de Octubre de este año, momento en que todos los Estados Miembros de la Unión Europea tienen que haber completado la transposición de la Directiva. Sin embargo, a escasos meses de su entrada en vigor, dos tercios de las empresas europeas aún no han tomado medidas. 

Recordemos que, en comparación con la NIS (introducida en 2018), esta nueva directiva afectará a un mayor número de organizaciones en un mayor número de sectores y se extenderá a las entidades del mercado medio. Las multas por incumplimiento, además, alcanzan los 10 millones de euros, o incluso el 2% de los ingresos anuales totales de una organización, tomar las medidas necesarias para cumplir con la directiva debería ser una prioridad para las empresas.

Esta política exigirá a las compañías la aplicación de las nuevas políticas en materia de análisis de riesgos y seguridad de la información, continuidad de negocio, la seguridad de la cadena de suministro, gestión de incidentes y de las prácticas de desarrollo de sistemas de información, tales como la revelación de vulnerabilidades, la criptografía, el cifrado o la autenticación de doble factor.

En definitiva, la directiva NIS2 exige a las organizaciones e infraestructuras esenciales el cumplimiento de medidas más estrictas. En general, las novedades claves de NIS2 respecto a NIS representan un importante paso adelante en la mejora de la ciberseguridad en la UE. Por ello, para entender la norma, se ha de atender a 5 pilares fundamentales de NIS2:

Ampliación del ámbito de aplicación

La normativa NIS2 amplía el ámbito de aplicación a las entidades que prestan servicios esenciales, como los servicios financieros, las empresas de energía y las de transporte. Esto significa que estas entidades ahora tendrán la obligación de cumplir con nuevos requisitos de seguridad. 

La nueva directiva no hace distinción entre los operadores de servicios esenciales y los proveedores de servicios digitales, sino que se centra en todas las entidades importantes y esenciales en función de su tamaño, repercusión y sector. En ese sentido, los siguientes requisitos son las diferentes formas en que la SRI2 ayudará a las infraestructuras esenciales de los servicios básicos e importantes a estar preparadas y a combatir las amenazas cibernéticas.

Mayor protección de la información sensible

La normativa NIS 2 establece requisitos más estrictos para la protección de la información sensible, como los datos personales, financieros o de infraestructuras críticas. Entre ellos se incluye la realización de una evaluación de riesgos de ciberseguridad periódica, la implementación de medidas de seguridad técnicas y organizativas adecuadas para mitigar los riesgos identificados y la formación del personal sobre ciberseguridad.

Cooperación

La normativa NIS2 establece un marco más sólido para la cooperación entre las autoridades nacionales de ciberseguridad con la creación de un Centro Europeo de Cooperación en materia de Ciberseguridad (ENISA), una red de Autoridades Nacionales de Ciberseguridad (NCAs) y la obligación de las NCAs de cooperar entre sí y con ENISA. 

La nueva norma introduce una estructura de gestión de crisis cibernéticas o CyCLONe: una red de cooperación para los Estados miembro europeos encargados de la gestión de crisis cuya misión será facilitar, junto con un grupo de cooperación, la estrecha colaboración y el intercambio de información. Establecerá vínculos entre el nivel técnico (red de equipos de respuesta ante incidentes de seguridad cibernética [CSIRT por sus siglas en inglés] de la UE) y la red política del organismo.

Además, se introducen evaluaciones entre homólogos para mejorar la colaboración y el intercambio de información entre todos los Estados miembro: la idea es poder ayudar a dichos Estados a mantener al día sus ciberestrategias mediante el manejo de información común. En este sentido, se ha creado un registro europeo de vulnerabilidades que se encargará de registrar y actualizar las vulnerabilidades descubiertas en toda Europa. Estos documentos: “Revelación coordinada de vulnerabilidades” (CVD por sus siglas en inglés) y bases de datos de vulnerabilidades» se concluyeron en 2021 y darán soporte al manejo de las vulnerabilidades y a la base de datos de vulnerabilidades de todos los Estados miembro.

De hecho se realizará un informe anual sobre ciberseguridad ayudará a los Estados miembro a mantenerse informados acerca de sus resultados anuales en materia de ciberseguridad, las áreas de mejora y la situación concerniente a las amenazas cibernéticas.

Concienciación

La directiva NIS2 exige a las organizaciones que realicen una evaluación de riesgos de ciberseguridad y que informen sobre los incidentes cibernéticos lo que se espera ayude a aumentar la concienciación sobre la ciberseguridad y a mejorar la capacidad de las organizaciones para gestionar los riesgos actuales.

Más sanciones

La normativa NIS2 establece un régimen sancionador más severo para las organizaciones que no cumplan con lo establecido en la ley. De hecho, las sanciones pueden llegar hasta los 20 millones de euros o el 4% del volumen de negocio global de la organización.

Quedan 10 meses para que esta norma entre en vigor pero las organizaciones deben aprender de lo ocurrido con el Reglamento General de Protección de Datos hace años y utilizar los próximos meses para avanzar en su trabajo y garantizar que la resiliencia cibernética esté en el centro de sus modelos de negocio antes de la llegada definitiva de la norma. En este sentido, implementar la tecnología adecuada es esencial pero también establecer planes de acción y de respuesta ante posibles incidentes pues, las últimas normativas obligan a empresas y organismos afectados por ciberataques a tener un plan de respuesta y notificar en caso de ciberataque para evitar las multas. NIS2 hace hincapié en el factor preparación, en la proactividad, por lo que, si quieren evitar las temidas multas, las empresas deben poner el foco en este punto.