La aplicación de la Directiva NIS 2 se retrasa en España
- Normativa
Aún no se ha adaptado a la legislación nacional, por lo que todavía no es obligatoria, pero habrá sanciones de hasta 10 millones de euros para empresas que no cumplan con la NIS 2. Para ello deben comenzar por realizar un análisis de brechas y desarrollar un plan de acción que priorice los riesgos.
España registró 107.777 ciberataques en 2023, un 94% más que en 2022. Estas impactantes cifras han llevado a la Unión Europea a actuar y lanzar la Directiva NIS 2, una actualización que refuerza los requisitos de la actual NIS, y que tendrá una mayor supervisión y sanciones, afectando a 100.000 empresas de toda Europa. En España aún no se ha producido la adaptación a la legislación, pero es clave que las empresas afectadas puedan ir preparándose. Para ello, TÜV Rheinland ha preparado una guía:
1. Saber si eres una empresa afectada. El primer paso es identificar si la empresa pertenece a los sectores críticos definidos por la NIS 2 y registrarse oficialmente como una entidad a la que le es aplicable la normativa. Esto asegura que las autoridades competentes tengan constancia de la organización.
2. Definir un modelo de gobernanza de ciberseguridad. Esto incluye establecer roles y responsabilidades dentro de la organización, designar un responsable de seguridad y garantizar que las decisiones se alineen con la estrategia empresarial.
3. Seguridad en toda la cadena de suministro. Aunque no te ataquen directamente a ti, los ciberdelincuentes pueden acceder a través proveedores o terceros, por lo que hay que asegurarse de que cumplan también con estándares de ciberseguridad.
4. Plan de continuidad de negocio. Es importante contar con un plan que permita a la empresa operar durante y después de un ciberataque o interrupción significativa, ya pueden secuestrar tu información y detener tu actividad o producción durante semanas o meses.
5. Sensibilización de los trabajadores. Es crucial formar y concienciar a todos los empleados sobre la importancia de la ciberseguridad y sus responsabilidades individuales para prevenir incidentes.
6. Asignación presupuestaria. Cumplir con la NIS 2 implica una inversión continua. La empresa debe asignar una partida presupuestaria anual para personal, tecnología, auditorías y formación.
Según explica Rubén Fusté, Sales Manager de Servicios Industriales y Ciberseguridad de TÜV Rheinland España, “para cumplir con la NIS 2, las empresas deben comenzar por realizar un análisis de brechas para evaluar su nivel actual de ciberseguridad y desarrollar un plan de acción que priorice los riesgos más significativos. Es fundamental que en 2025 destinen presupuesto específico a la gestión de la ciberseguridad, establecer un modelo de gobernanza eficaz que asigne claramente responsabilidades y garantizar la seguridad de la cadena de suministro”.