En un mundo cada vez más interconectado, la importancia de una ciberseguridad robusta no puede resaltarse lo suficiente. Con ciberataques cada vez más sofisticados y a escala, los gobiernos de todo el mundo se esfuerzan por proteger la infraestructura crítica y los datos sensibles. En la Unión Europea, una de las respuestas ha sido la implementación de la directiva SRI 2, un paso decidido a la hora de reforzar la ciberseguridad en los Estados miembros.

OneTrust considera que la NIS2 es un paso clave para mejorar la ciberseguridad en sectores críticos en los que confían los consumidores. 

Pero ¿qué implica exactamente la NIS2 y por qué es tan crucial para las empresas, los gobiernos y los individuos por igual?
 

¿Qué es la directiva NIS2?

La directiva NIS2, es decir, la directiva sobre la seguridad de las redes y sistemas de información, se trata de una legislación actualizada que tiene por objeto mejorar el marco general de ciberseguridad dentro de la UE. Esta se adoptó en 2022 y se elaboró a partir de la directiva SRI de 2016, su predecesora. La NIS2 introduce un enfoque más integral y estricto de la ciberseguridad, lo que aborda una gama más amplia de sectores, incluida la infraestructura crítica, la energía, la atención sanitaria y las finanzas.

El objetivo de la NIS2 es simple pero profundo: crear un entorno digital resiliente en toda Europa mejorando las capacidades de ciberseguridad de las entidades clave y esenciales. Al establecer normas claras para la gobernanza de la ciberseguridad, la notificación de incidentes, la gestión de riesgos y la colaboración transfronteriza, esta directiva se esfuerza por mitigar los riesgos que plantean las ciberamenazas.

¿A quién afecta la NIS2?

En virtud de la directiva NIS2, el ámbito de las entidades afectadas se ha ampliado de manera considerable en comparación con la directiva NIS original. Ahora, más sectores y tipos de organizaciones están sujetos a sus requisitos. Como, p. ej.:

• Proveedores de infraestructura crítica: entidades en sectores como la energía, el agua, el transporte y la atención sanitaria. Estos sectores son cada vez más objeto de ciberdelincuentes debido a su importancia para mantener el funcionamiento de la sociedad.
• Proveedores de servicios digitales: esto incluye servicios en la nube, mercados en línea y motores de búsqueda. A medida que las empresas continúan digitalizando sus operaciones en línea, la ciberseguridad de estas infraestructuras se vuelve más vital que nunca.
• Organismos de la administración pública: los gobiernos y organismos gubernamentales a nivel nacional y local también se ven involucrados por la directiva.

La directiva también pone énfasis en las cadenas de suministro, lo que reconoce que las vulnerabilidades de ciberseguridad en una entidad pueden tener un efecto en cascada sobre otras. Este enfoque interconectado incentiva a las organizaciones no solo a centrarse en sus propias defensas, sino también a garantizar que sus socios y proveedores mantengan un alto estándar de ciberseguridad.
 

Disposiciones clave de la NIS2

La directiva SRI 2 establece un marco integral para mejorar la ciberseguridad en toda Europa. Las disposiciones clave incluyen:
 

1. Medidas de gestión de riesgos de ciberseguridad

La NIS2 requiere que las organizaciones adopten un enfoque que se base en el riesgo para la ciberseguridad. Esto implica identificar, evaluar y mitigar los riesgos de forma sistemática. También se espera que las entidades establezcan una estructura de gobernanza interna clara para gestionar la ciberseguridad e implementen planes de respuesta ante incidentes para abordar rápidamente las brechas cuando se produzcan.

2. Informe sobre incidentes

La NIS2 mejora el requisito a la hora de informar sobre incidentes de ciberseguridad. Las organizaciones ahora deben informar sobre incidentes de seguridad significativos a las autoridades pertinentes en un plazo de 24 horas tras la su detección. Esta rápida notificación es esencial para garantizar que las amenazas se identifican de manera temprana y se mitigan antes de que causen daños generalizados.

3. Seguridad de la cadena de suministro

La directiva pone un énfasis significativo en la seguridad de las cadenas de suministro. Dada la creciente complejidad e interdependencia de las cadenas de suministros a nivel global, la NIS2 exige que las organizaciones evalúen y gestionen los riesgos de ciberseguridad que puedan plantear los proveedores y socios externos. Esto es un intento de blindarse frente a las vulnerabilidades que a menudo se pasan por alto en la cadena de suministro y que pueden ser aprovechadas por ciberdelincuentes.

4. Mayor aplicación de la ley y sanciones

A diferencia de la directiva NIS original, la NIS2 tiene un carácter menos voluntario e impondrá sanciones económicas similares a las del RGPD y DORA. La NIS2 introduce mecanismos de aplicación más serios. Los Estados miembros deben establecer, de forma clara, autoridades nacionales de ciberseguridad con el poder de imponer multas y sanciones a las organizaciones que no cumplan con esta directiva. Estas sanciones pueden llegar a ser considerables, hasta un 2 % de la facturación anual de la empresa implicada, lo que enfatiza la importancia de cumplir las normas de ciberseguridad que establece la directiva. Además, también existen posibles implicaciones para los altos ejecutivos que no cumplan con la directiva.

5. Cooperación mejorada

La NIS2 facilita la cooperación transfronteriza y el intercambio de información entre los Estados miembros. Al reforzar la respuesta colectiva de la UE frente a las ciberamenazas, la directiva garantiza que los Estados miembros puedan compartir las prácticas recomendadas, realizar ejercicios conjuntos de ciberseguridad y responder rápidamente a los incidentes que puedan afectar a varios países.
 

¿Por qué es importante la NIS2?

El panorama digital está evolucionando a un ritmo asombroso y, con él, las amenazas que plantean los ciberdelincuentes. Desde ataques de ransomware contra hospitales hasta el robo de datos confidenciales de agencias gubernamentales, los incidentes cibernéticos tienen el potencial de paralizar sectores enteros. La NIS2 aborda esta creciente amenaza no solo endureciendo las normativas, sino también fomentando una cultura de ciberseguridad proactiva dentro de las organizaciones.

Además, la NIS2 ayuda a estandarizar las prácticas de ciberseguridad en toda la UE. En una unión de países diversos con diferentes niveles de madurez digital, las normas uniformes son cruciales a la hora de garantizar que ningún Estado miembro se quede atrás. Esta armonización ayuda a mitigar los riesgos que están asociados con los enfoques de ciberseguridad fragmentados, lo que facilita la gestión de amenazas cibernéticas transfronterizas.
 

El camino a seguir

A medida que la directiva NIS2 comienza a entrar en vigor, las organizaciones de toda la UE deben comenzar a ajustar sus prácticas de ciberseguridad con sus requisitos. Esta directiva es un recordatorio de que la ciberseguridad no es una tarea única, sino un compromiso continuo. Por su parte, las organizaciones deben invertir en tecnologías, formación y procesos para proteger sus redes y datos contra el panorama en constante evolución de las amenazas cibernéticas.

En una era donde la transformación digital es primordial, la NIS2 garantiza que a medida que Europa adopta nuevas tecnologías, lo hace con una sólida base en ciberseguridad. Además, esta directiva es mucho más que un marco normativo: es una llamada a la acción para que las organizaciones fortalezcan sus defensas, protejan su infraestructura digital y contribuyan a una Europa digital más segura y resiliente.

Dicho esto, OneTrust ofrece soluciones sólidas para mejorar la resiliencia cibernética y operacionalizar el cumplimiento normativo de la NIS2 en toda la organización. Descarga este libro electrónico para saber más sobre normativas como la NIS2 y el reglamento DORA, y cómo afectarán al futuro de la gestión de terceros.