La directiva NIS se adoptó en julio de 2015 y se empezó a aplicar en la Unión Europea el 9 de mayo de 2018. Esta directiva estableció una serie de requisitos en materia de ciberseguridad para los operadores de servicios esenciales y los proveedores de servicios digitales. El objetivo era mejorar la seguridad y la resiliencia de las infraestructuras y los servicios esenciales mediante la aplicación de un alto nivel común de ciberseguridad en todos los Estados miembros de la UE. Entre los sectores considerados esenciales figuraban la energía, el transporte, el agua, la salubridad y la banca. Además de las medidas de seguridad establecidas, estas organizaciones también recibieron el mandato de informar sobre los incidentes importantes a las autoridades nacionales.

El anuncio de una nueva directiva

En respuesta al vertiginoso ritmo de transformación digital de las empresas y de la sociedad provocado por el COVID, en diciembre de 2022 se publicó una actualización de la directiva. Conocida como la directiva NIS 2, será aplicable a las empresas consideradas esenciales a partir del 18 de octubre de 2024. Un cambio muy importante es que la NIS 2 amplía considerablemente la lista de empresas esenciales para incluir a más de 160.000 organizaciones de toda Europa. Por ejemplo, la NIS 2 añade el sector alimentario a la lista de servicios esenciales y añade una segunda categoría de servicios importantes.

NIS 2 es un ejemplo más de la rápida evolución del panorama normativo en todo el mundo. Dado que las posibles multas impuestas por el incumplimiento de la NIS 2 pueden alcanzar los 10 millones de euros o el 2% de la facturación mundial, es esencial que todos los propietarios y directivos de empresas se familiaricen con la directiva más reciente. Debido a la inmadurez de numerosas tecnologías digitales que entran en el ámbito de aplicación de normativas de cumplimiento constantemente cambiantes, sigue habiendo muchos malentendidos y confusión en relación con la responsabilidad en materia de ciberseguridad, y los ciberdelincuentes se aprovechan de ello.

¿Quién está sujeto a la NIS 2?

No piense que la directiva NIS 2 no afecta a su organización sólo porque escapó a la jurisdicción de la directiva NIS original.

• NIS 2 es aplicable a una amplia lista de organizaciones de servicios digitales, incluyendo proveedores de servicios DNS, servicios de computación en la nube, servicios de centros de datos, entrega de contenidos, servicios informáticos gestionados, servicios de seguridad gestionados y proveedores de servicios de confianza. También se incluyen los registros de nombres TLD, buscadores online y las plataformas de servicios de redes sociales.

• Mientras que la directiva NIS original contemplaba una exención para las pequeñas organizaciones con menos de 50 empleados y un volumen de negocio o balance anual inferior a 10 millones de euros, no hay exenciones para los proveedores de servicios digitales.

• Cualquier empresa considerada “esencial” con 250 empleados o más y un volumen de negocio de 50 millones de euros o un balance de 43 millones de euros queda bajo la jurisdicción de NIS 2. Ejemplos de organizaciones esenciales son la energía, la administración pública, la gestión de aguas residuales y la banca.

• El NIS 2 también es aplicable a cualquier organización considerada “importante” con más de 50 empleados y un volumen de negocios o balance anual de 10 millones de euros. Entre las organizaciones importantes figuran las del sector manufacturero, las organizaciones dedicadas a la investigación y los servicios postales.

Es importante señalar que la lista de organizaciones aplicables puede ser modificada por los distintos Estados miembros de la UE. Los Estados miembros tienen hasta abril de 2025 para finalizar su propia lista de entidades esenciales e importantes. Aunque la NIS 2 no se aplicará directamente a Inglaterra, la propia normativa NIS del Reino Unido se reforzará para proteger sus propios servicios esenciales contra los ciberataques.

Nuevas áreas de actuación de NIS 2

La ciberseguridad es un objetivo móvil y las agencias reguladoras deben actualizar constantemente sus requisitos para seguir el ritmo de la intervención tecnológica y la evolución de las metodologías de ataque. La NIS 2 se basa en la intención inicial de su predecesora al imponer una base más estricta para las medidas de gestión de riesgos de ciberseguridad y las obligaciones de información. Un objetivo clave es animar a las organizaciones a adoptar un enfoque más proactivo de la gestión de riesgos en lugar de un enfoque reactivo. Algunas de las novedades introducidas en la NIS 2 son las siguientes:

• Las organizaciones deben evaluar la actual gestión de riesgos y la estrategia de ciberseguridad de su organización para identificar las lagunas que deben abordarse para lograr el cumplimiento.

• Las empresas deben abordar los riesgos de seguridad en sus cadenas de suministro y en las relaciones con sus proveedores.

• Las organizaciones consideradas esenciales están sujetas a auditorías e inspecciones en cualquier momento, mientras que las consideradas importantes sólo pueden ser investigadas cuando se produce un incidente.

• Se exigirá a las organizaciones que lleven a cabo evaluaciones periódicas de formación y concienciación en ciberseguridad para dotar a los empleados de los conocimientos y las habilidades necesarias para prevenir y responder a los incidentes de ciberseguridad.

La NIS 2 aplicará un calendario estricto en relación con los planes de respuesta a incidentes. Las entidades esenciales e importantes deberán notificar a su equipo nacional de Respuesta a Incidentes de Seguridad Informática y a una autoridad competente cualquier incidente que se considere que tiene un impacto significativo en los servicios que prestan en un plazo de 24 horas. La notificación de un incidente deberá hacerse en un plazo de 72 horas desde el conocimiento del incidente y deberá facilitarse una evaluación inicial del mismo. Asimismo, deberá presentarse un informe final a más tardar un mes después de la publicación de la notificación del incidente. El informe final deberá incluir una descripción detallada del incidente, incluyendo la causa probable del mismo, así como cualquier medida de mitigación que se haya aplicado para reducir y remediar el ataque.

Aunque la aplicación de la NIS 2 se producirá a nivel nacional de los Estados miembros de la UE, se exigirá a las autoridades que participen en la respuesta a incidentes a nivel de la UE para corregir la falta de respuesta conjunta a las crisis en el pasado. También se anima a los Estados miembros a que compartan más datos entre las autoridades, lo que contribuirá a reforzar la concientización en toda la UE y a lograr una comprensión común de las principales amenazas y retos en todos los Estados miembros.

Cómo puede ayudar CYREBRO

La directiva NIS 2 no sólo se aplica a las grandes empresas y a los Estados nacionales, ya que muchas PYMES entran dentro de las categorías aplicables. Dado que las PYMES carecen a menudo de los recursos, la base de conocimientos y el talento necesarios para garantizar la protección frente a las ciberamenazas, el outsourcing suele ser la opción preferida para estas empresas. Aquí es donde un centro de operaciones de seguridad (SOC) puede ofrecer un valor real. CYREBRO es un proveedor de SOC gestionado que está especializado en detección de amenazas, mitigación y respuesta a incidentes.

Sea cual sea el tamaño de su empresa, los clientes de CYREBRO pueden reforzar sus esfuerzos en materia de seguridad con las tecnologías innovadoras que ofrece CYREBRO, incluida la IA. Nuestros algoritmos de detección patentados supervisan, analizan e interpretan estratégicamente las consecuencias de los sucesos en todos sus entornos empresariales.

Pero CYREBRO ofrece algo más que tecnología. Nuestros equipos de seguridad cuentan con años de experiencia y trabajan directamente con nuestros clientes. Además de su enorme repertorio de habilidades, también están bien versados en cualquier normativa de cumplimiento que pueda ser aplicable a su negocio, lo que les permite servir como asesores y guías a la hora de garantizar el cumplimiento. Póngase en contacto con un representante de CYREBRO hoy mismo para obtener más información sobre cómo NIS 2 puede afectar a su negocio y qué puede hacer para lograr el cumplimiento.