menu close Media EventosNoticiasContacto search close
Global Site close
  • Americas
  • Asia Pacific
  • Europe
  • Middle East and Africa
ArgentinaArubaBahamasBarbadosBoliviaBrazilCanadaCayman IslandsChileColombiaCosta RicaCuracaoDominican RepublicEcuadorEl SalvadorGuatemalaHondurasMexicoPanamaParaguayPeruPuerto RicoSaint MartinSurinameUnited StatesUruguayVenezuela
AfghanistanAustraliaCambodiaChinaHawaiiHong KongIndiaIndonesiaJapanMacauMalaysiaMaldivesMongoliaMyanmarNepalNew ZealandPakistanPhilippinesSingaporeSouth KoreaSri LankaTaiwanThailandVietnam
AlbaniaAndorraArmeniaAustriaAzerbaijanBelgiumBulgariaCroatiaCyprusCzech RepublicDenmarkEstoniaFinlandFranceGeorgiaGermanyGreeceHungaryIrelandItalyKazakhstanLatviaLiechtensteinLithuaniaLuxembourgMaltaMoldovaNetherlandsNorwayPolandPortugalRomaniaSerbiaSlovakiaSloveniaSpainSwedenSwitzerlandTajikistanTurkeyUkraineUnited KingdomUzbekistan
AlgeriaAngolaBahrainCôte d’IvoireEgyptGhanaIraqJordanKenyaKuwaitLebanonLiberiaMaliMauritiusMoroccoMozambiqueNigeriaOmanQatarSaudi ArabiaSenegalSierra LeoneSouth AfricaTanzaniaTogoTunisiaUgandaUnited Arab EmiratesYemenZimbabwe
Servicios
close Servicios
Servicios
Sectores
close Sectores
Sectores
Temas de interés
close Temas de interés
Temas de interés
Conócenos
close Conócenos
Conócenos
Carreras profesionales
Media EventosNoticiasContacto
search close
home Temás de Interés
Cara y Cruz de la sentencia dictada por le TJUE.

Ciberseguridad bajo la Directiva NIS 2: Impacto en las empresas y su responsabilidad corporativa

Daniel Medrano, Manager de Management Consulting
12/11/2024
Cara y Cruz de la sentencia dictada por le TJUE.

La Directiva NIS 2 (Network and Information Security 2) es la nueva normativa de ciberseguridad impulsada por la Unión Europea (UE) que se ha desarrollado como una actualización de la Directiva NIS original. Esta nueva directiva fue publicada en 2022 con el objetivo de establecer un marco más robusto y uniforme en materia de seguridad de redes y sistemas de información, adaptado a las nuevas amenazas y desafíos en ciberseguridad.

La fecha máxima para la transposición de la Directiva NIS 2 a la legislación nacional de cada Estado miembro de la Unión Europea era el 17 de octubre de 2024. Actualmente, países como Alemania, Italia, Bélgica y Croacia, entre otros, ya han adaptado la directiva a su legislación nacional, y aunque esta ya es de carácter obligatorio, en España todavía no se ha trasladado al marco legislativo nacional, sin embargo, es crucial que las empresas no retrasen sus acciones hasta su promulgación definitiva.

Contexto y necesidad de la Directiva

Desde la entrada en vigor de la Directiva NIS en 2016, se han evidenciado numerosos desafíos que han llevado a la Unión Europea a considerar una actualización. El aumento en el volumen y la sofisticación de los ciberataques, así como la creciente dependencia digital en todos los sectores, han creado un entorno en el que los controles de seguridad resultan insuficientes. La Directiva NIS 2 busca abordar estas deficiencias y, al mismo tiempo, garantizar un enfoque armonizado y sistemático para la ciberseguridad en toda la Unión Europea.

Principales cambios y requisitos de la nueva normativa

La Directiva NIS 2 introduce importantes modificaciones respecto a su predecesora:

  • Ampliación de los sectores obligados: NIS 2 amplía el espectro de sectores y entidades que deben cumplir con sus requisitos, abarcando no solo infraestructuras críticas, sino también industrias tecnológicas y de servicios.
  • Requisitos de seguridad más estrictos: Establece un conjunto de prácticas de ciberseguridad que incluyen medidas técnicas y operativas, como la gestión de riesgos, la notificación de incidentes y la recuperación de servicios.
  • Obligaciones de notificación de incidentes: La directiva exige la notificación de incidentes en un plazo máximo de 24 horas desde su detección.
  • Mayor supervisión y sanciones: Se establece una supervisión activa de las entidades obligadas y sanciones significativas para quienes incumplan, con multas que pueden llegar al 2% de los ingresos anuales de la entidad.
  • Participación activa de las juntas directivas: Se exige que los consejos de administración tengan un papel activo en la supervisión de la ciberseguridad de sus organizaciones, promoviendo la responsabilidad a nivel de la alta dirección.

Sectores obligados a cumplir

Uno de los cambios más significativos en esta NIS 2 es la ampliación de los sectores y entidades a los que aplica la normativa. En la Directiva NIS original, la obligación se centraba en sectores considerados críticos, como la energía, el transporte y la salud. NIS 2 introduce una lista más exhaustiva de sectores, clasificándolos como "entidades esenciales" y "entidades importantes".

1. Sectores esenciales

Estos sectores son considerados críticos para el funcionamiento de la sociedad y la economía, y cualquier interrupción en sus operaciones puede tener consecuencias graves. Las entidades en estos sectores están obligadas a cumplir con los requisitos de seguridad de NIS 2 y a notificar incidentes cibernéticos significativos.

Los sectores esenciales incluyen:

  • Energía: Generación, transmisión y distribución de electricidad, gas y petróleo.
  • Transporte: Incluye el transporte aéreo, ferroviario, marítimo y terrestre.
  • Banca: Entidades que proporcionan servicios bancarios y financieros.
  • Infraestructuras de mercados financieros: Proveedores de servicios de infraestructura en los mercados financieros, como bolsas de valores.
  • Salud: Incluye hospitales, clínicas y otros centros de salud, además de laboratorios de investigación.
  • Aguas: Proveedores de agua potable y servicios de tratamiento de aguas residuales.
  • Infraestructuras digitales: Proveedores de redes de comunicación, centros de datos y servicios de intercambio de información de internet.

2. Sectores importantes

Los sectores clasificados como importantes también juegan un rol relevante en la economía y el bienestar social, aunque las consecuencias de una interrupción pueden ser menos graves que en los sectores esenciales. Sin embargo, las entidades de estos sectores están igualmente sujetas a los requisitos de NIS 2 en términos de ciberseguridad y notificación de incidentes.

Entre los sectores importantes se encuentran:

  • Servicios postales y de mensajería.
  • Gestión de residuos: Incluyendo el tratamiento de residuos y la gestión de recursos.
  • Producción y distribución de alimentos: Incluyendo la producción y distribución de productos alimenticios básicos.
  • Industria química: Fabricación, almacenamiento y distribución de productos químicos.
  • Fabricación: Incluyendo sectores industriales como la producción de equipos eléctricos, productos médicos, maquinaria, vehículos y aeronaves.
  • Proveedores de servicios digitales: Abarca proveedores de servicios como plataformas de comercio electrónico, motores de búsqueda y redes sociales.

Medidas de seguridad exigidas por la nueva normativa

La Directiva NIS 2 establece una serie de medidas de seguridad obligatorias, que las empresas deben implementar para fortalecer su protección contra amenazas cibernéticas. Estas medidas buscan mejorar la resiliencia de los sectores esenciales e importantes, aumentando la capacidad de las organizaciones para prevenir, detectar, y responder a incidentes de seguridad.

A continuación, se detallan las principales medidas de seguridad que deben aplicar las entidades conforme a NIS 2:

Consecuencias de incumplir

Cumplir con NIS 2 no es solo una obligación regulatoria, sino una necesidad estratégica para proteger a las empresas contra el creciente panorama de ciberamenazas. A continuación, se muestran algunas de las consecuencias directas de no cumplir con la nueva normativa:

  • Multas económicas significativas: Las empresas se enfrentan a sanciones de hasta 10 millones de euros o un 2% de su facturación anual global. Para las entidades importantes, las multas pueden alcanzar hasta 7 millones de euros o un 1,4% de su facturación anual global como máximo.
  • Responsabilidad de la alta dirección: Los directivos tienen la obligación de aprobar y supervisar estrategias de gestión de riesgos en ciberseguridad. La falta de cumplimiento en este aspecto podría acarrear responsabilidad personal, lo que incluye sanciones civiles e incluso penales en algunos casos.
  • Riesgo de interrupciones operativas: El incumplimiento de la normativa aumenta la vulnerabilidad de las empresas ante ciberataques, lo cual puede llevar a importantes paradas operativas.
  • Impacto en la reputación: La Directiva exige una gestión transparente y adecuada de los incidentes de seguridad.
  • Pérdida de competitividad: La Directiva establece altos estándares de ciberseguridad, lo que permite que las empresas que cumplan se diferencien de sus competidores.
  • Dificultades en la gestión de la cadena de suministro: La Directiva exige la evaluación y gestión de riesgos en toda la cadena de suministro.

Se cierne la nueva era de la Ciberseguridad en Europa

La Directiva NIS 2 es un avance importante en el campo de la ciberseguridad dentro de la Unión Europea. Al ampliar el alcance a más sectores y establecer requisitos de seguridad más rigurosos, la normativa fortalece la capacidad de Europa para proteger sus infraestructuras críticas y mitigar las amenazas cibernéticas. Aunque su implementación presenta desafíos, especialmente para sectores que no estaban contemplados anteriormente, se espera que NIS 2 contribuya a una mayor resiliencia y seguridad en un mundo cada vez más digitalizado y vulnerable a las amenazas cibernéticas.

open_in_new Contacto Daniel Medrano