¿Qué cambia con la Directiva NIS2?
La Directiva europea NIS2, adoptada en enero de 2023, obligará a muchas empresas a mejorar sus medidas de seguridad para combatir las nuevas formas de ciberataque. Ambiciosa y visionaria, la NIS 2 pretende establecer un nivel uniforme de madurez cibernética en toda la Unión Europea.
¿En qué sentido es la NIS2 una evolución de la directiva anterior?
La Directiva NIS -Seguridad de las Redes y de la Información- forma parte de un amplio marco normativo destinado a reforzar la seguridad digital en el mercado europeo, sobre todo en los sectores que dependen en gran medida de las tecnologías de la información y la comunicación. Descendiente de la NIS 1, la nueva directiva NIS 2 amplía su ámbito de aplicación, imponiendo sus principios a un mayor número de entidades y sectores.
En concreto, la Directiva NIS 2 seguirá aplicándose a ámbitos ya afectados por la NIS 1 (como la sanidad, la banca y el transporte), al tiempo que se amplía a nuevos sectores de actividad como las administraciones públicas, las telecomunicaciones, las plataformas de redes sociales, los servicios postales e incluso el sector espacial.
Otro cambio importante es su ampliación a las empresas privadas. Miles de empresas, desde PYMES hasta grandes corporaciones del CAC40, tendrán que cumplir las directrices de esta nueva normativa.
Por último, la directiva NIS2 introduce una tercera innovación significativa: la integración de un mecanismo de proporcionalidad, que diferencia entre dos categorías de agentes regulados en función de su nivel de criticidad: entidades esenciales y entidades importantes. La Agencia Nacional de Seguridad de los Sistemas de Información (ANSSI) utilizará este concepto para establecer requisitos específicos adaptados a cada categoría de entidades.
¿Por qué NIS2 es un paso importante en la regulación de la ciberseguridad?
En un momento en que la amenaza compleja, profesional y en constante evolución no cesa y los sistemas de información siguen siendo en parte vulnerables, la aplicación de la directiva NIS 2 representa una oportunidad sin igual: permitirá a miles de entidades mejorar su nivel de protección. Esta iniciativa también ofrece la posibilidad de movilizar la economía nacional y el sector público. Además, anima a los Estados miembros a intensificar su cooperación en la gestión de crisis cibernéticas, en particular mediante el establecimiento de un marco oficial para la red CyCLONe, que reúne a la ANSSI y a sus homólogos europeos.
¿A quién afecta la directiva NIS2?
Desde el 26 de marzo, el gobierno ha puesto a tu disposición un simulador para ayudarte a averiguar si tu entidad está sujeta a la Directiva NIS 2 y a qué categoría pertenece.
De forma más general, la directiva NIS2 se aplica a las empresas con más de 50 empleados y un volumen de negocio superior a 1 millón de euros en los sectores afectados. El tamaño de estas empresas va desde las PYME hasta las grandes empresas y, en algunos casos, las autoridades locales.
¿A qué sectores empresariales afecta la NIS2?
Inicialmente, la Directiva NIS1 regulaba 19 sectores. Con esta nueva versión, ahora son 35 los sectores afectados.
Los 19 sectores cubiertos por la NIS1 son: sanidad, energía, transportes, banca, infraestructuras de los mercados financieros, suministro de agua potable, aguas residuales, infraestructuras digitales, proveedores de servicios digitales, administraciones públicas y sector aeroespacial.
Además, la NIS2 amplía su ámbito de aplicación a los siguientes sectores: servicios postales y de transporte marítimo, gestión de residuos, fabricación, producción y distribución de productos químicos, industria, agroalimentación y proveedores de servicios digitales.
¿Cuál es la diferencia entre una entidad esencial y una entidad importante?
Las empresas clasificadas como esenciales o importantes forman parte de los 35 sectores cubiertos y son responsables de una infraestructura cuya interrupción tendría un impacto significativo en la economía y el funcionamiento del país. Por regla general, las ETI y las grandes empresas de la lista de operadores de servicios esenciales (OSE) se clasificarán como entidades esenciales.
Las empresas afectadas serán identificadas en cuanto se publique el decreto de transposición de la directiva a la legislación nacional, a más tardar el 17 de octubre de 2024. Los criterios de selección incluyen una plantilla de al menos 50 empleados y un volumen de negocios superior a 1 millón de euros.
¿Por qué se incluye a los subcontratistas en esta directiva?
En respuesta al fenómeno de los ataques dirigidos a la cadena de suministro, también conocidos como ataques a la «cadena de suministro», esta categoría de actores se incluye ahora en los sectores cubiertos por la NIS 2.
Las empresas subcontratadas pueden tener acceso a datos sensibles o sistemas críticos, y si no están adecuadamente protegidas contra las ciberamenazas, se convierten en objetivo de los ciberdelincuentes. Al incorporar a los subcontratistas a los requisitos de ciberseguridad, las organizaciones que los contratan pueden asegurarse de que sus subcontratistas disponen de medidas de seguridad adecuadas para proteger los datos y sistemas de los que son responsables.
Esto previene el riesgo de que las vulnerabilidades se propaguen por la cadena de suministro y evita causar daños a las empresas con las que trabajan.
Conviene recordar que los ciberataques a Kaseya y SolarWinds causaron decenas de miles de víctimas en todo el mundo.
¿Cómo podemos prepararnos para la aplicación del NIS2?
¿Cuándo entrará en vigor la directiva NIS2?
Aprobada por el Parlamento Europeo el 10 de noviembre de 2022 y publicada oficialmente en el Diario Oficial de la Unión Europea el 27 de diciembre de 2022. En línea con el RGPD, esta directiva da a los Estados miembros un plazo de 21 meses para incorporar esta normativa a su legislación nacional, con una fecha límite estimada del 17 de octubre de 2024. Sin embargo, hasta que la ANSSI no lo haga, la directiva no podrá aplicarse.
¿Existe algún tipo de apoyo para ayudar a las empresas en la transición?
Con un clima económico incierto y una deuda creciente tras la pandemia del COVID-19, esta nueva presión sobre la inversión no puede ser fácilmente absorbida por las empresas. Hasta ahora, los gobiernos no han anunciado ningún paquete de ayudas financieras, lo cual es comprensible dado que, en el momento de redactar este informe, el texto todavía se está transponiendo a nivel nacional. En Francia, sin embargo, la ANSSI cuenta con un presupuesto de inversión de 136 millones de euros desde 2011, como parte del componente de ciberseguridad del fondo France Relance. A finales de 2021, 626 candidatos habían recibido formación en ciberseguridad, con un coste total de 69 millones de euros.
¿Cómo prepararse para el NIS2?
La obligación de cumplir los requisitos de la directiva NIS 2 no entrará formalmente en vigor hasta 2024. Hasta que la directiva se transponga a la legislación francesa, los operadores de servicios esenciales (OSE) y los proveedores de servicios digitales deben seguir cumpliendo los requisitos establecidos en la NIS1 y otras normativas relativas a la seguridad de los sistemas de información.
Además, las entidades que ya estaban sujetas a la NIS1 deben perseverar en sus esfuerzos por cumplir la primera versión de la directiva. Por supuesto, los progresos realizados hasta la fecha no serán en vano, ya que la nueva directiva NIS2 se basa en los cimientos establecidos por su predecesora. Por último, las empresas que puedan verse afectadas por la NIS 2 deben adoptar ahora un enfoque proactivo para mejorar su seguridad informática.
Ante la persistente amenaza cibernética y la vulnerabilidad de los sistemas de información, la nueva directiva NIS 2 ofrece a las organizaciones una oportunidad única para invertir en la mejora de su seguridad. A todas las empresas afectadas les interesa evaluar sin demora su nivel de madurez en materia de ciberseguridad.
¿Eres uno de los sectores afectados y te gustaría recibir ayuda para que tu seguridad informática cumpla la normativa? Mailinblack es LA solución para ti.
Gracias a la solución de concienciación en ciberseguridad Cyber Coach y a la auditoría de las vulnerabilidades de tu empresa, Mailinblack puede ayudarte a elaborar una hoja de ruta pertinente para el cumplimiento del NIS2.
Así que no esperes más para solicitar una auditoría y descubrir las vulnerabilidades de tu empresa mediante una demostración.
*Fuente : CCN – https://www.ccn.cni.es/en/regulations/nis2-directive