¿Cómo afecta la nueva Directiva NIS2 sobre ciberseguridad a las empresas?

Recomendados....   » Digitalización y seguridad: motor de innovación en el sector financiero Leer  » Replanteando la gestión de residuos y eliminación de activos informáticos Guia » Cómo proteger el nuevo perímetro Leer

El objetivo de la nueva Directiva NIS2, que entrará en vigor a finales de 2023, es mejorar la resiliencia de la infraestructura crítica y alinear los esfuerzos de ciberseguridad en toda la Unión Europea. Introduce cambios de cumplimiento significativos para muchas empresas de los estados miembros, cuyas autoridades tienen hasta septiembre de 2024 para transponer la Directiva a sus propias leyes nacionales, momento en el que las empresas deberán cumplir con los requisitos específicos de cada país. CyberArk repasa los cinco cambios principales que abarca NIS2 y cómo afectan a las empresas españolas:

1. Alcance más amplio. La lista de sectores cubiertos por NIS2 es mucho más amplia que antes, y proporciona más detalles sobre qué entidades están sujetas a requisitos. Así, será obligatoria para cualquier entidad con más de 250 empleados y una facturación anual de más de 50 millones de euros y/o un balance anual superior a 43 millones de euros.

Además, en determinadas circunstancias, hay entidades que deben cumplirla independientemente del tamaño de la empresa, como los proveedores de redes de comunicaciones electrónicas. Depende de cada Estado miembro clasificar estas entidades como “esenciales” (en el caso de los operadores de infraestructura crítica o ciertos fabricantes) o “importantes” (proveedores de servicios digitales o proveedores de servicios gestionados). Y aunque ambos grupos deben cumplir con los mismos requisitos, la supervisión a las entidades esenciales será más estricta.

2. Requisitos de seguridad reforzados. NIS2 introduce un conjunto de medidas de ciberseguridad de referencia que cada entidad debe abordar, incluyendo el análisis de riesgos y las políticas de seguridad del sistema de información, la respuesta a incidentes, la continuidad del negocio y la gestión de crisis, la seguridad de la cadena de suministro, la evaluación de la eficacia de las medidas de gestión de riesgos y la divulgación de vulnerabilidades y encriptación.

3. Sanciones más severas por incumplimiento. Las multas por incumplimiento podrían alcanzar hasta el 2% de la facturación anual o 10 millones de euros, lo que suponga mayor cuantía.

4. Plazos más cortos de notificación de incidentes. NIS2 aclara las obligaciones con disposiciones más precisas acerca del proceso de divulgación, el contenido y el cronograma. En particular, las empresas afectadas deben presentar un informe a las autoridades dentro de las 24 horas posteriores al conocimiento de un incidente y una actualización final pasado un mes.

5. Supervisión y rendición de cuentas del consejo de administración. Por primera vez, NIS2 impone específicamente una obligación a los órganos de gestión, incluidos los miembros de C-Suite, para implementar y cumplir con medidas de seguridad reforzadas y alude a las posibles consecuencias de no hacerlo.