La normativa en materia de ciberseguridad tiene por objeto garantizar que los sectores críticos se tomen en serio las amenazas muy reales que suponen los ciberataques. La Unión Europea (UE) ha dado un paso importante para reforzar su marco de ciberseguridad vigente con la introducción de la Directiva NIS2. Aprobada el 14 de diciembre de 2022, esta directiva tiene por objeto establecer un alto nivel común de ciberseguridad en toda la Unión, subsanando las deficiencias de su predecesora, la Directiva (UE) 2016/1148 (NIS). Los Estados miembros tienen la obligación de aplicar las medidas necesarias antes del 17 de octubre de 2024, y su cumplimiento comenzará al día siguiente.
Antecedentes
La Directiva NIS2 surge como respuesta a las deficiencias detectadas en la anterior Directiva NIS, que constituyó una iniciativa pionera de la Unión Europea para reforzar la ciberseguridad en todos sus Estados miembros. Adoptada inicialmente en julio de 2016 y aplicada en agosto de 2016, la directiva tenía por objeto establecer un nivel común de seguridad de las redes y la información. Se centró principalmente en mejorar la resiliencia general de los operadores de servicios esenciales y los proveedores de servicios digitales, reconociendo la interconexión de las infraestructuras críticas en la era digital.
En su aplicación, la primera Directiva NIS supuso un paso decisivo en el reconocimiento de las crecientes amenazas que plantean los incidentes cibernéticos y tuvo por objeto garantizar una respuesta coordinada y armonizada a estos retos entre los Estados miembros de la UE. Al exigir la identificación de los operadores de servicios esenciales, promover prácticas de gestión de riesgos y exigir la notificación de incidentes, la Directiva NIS sentó las bases para un enfoque colaborativo de la ciberseguridad dentro de la Unión Europea. Sin embargo, la naturaleza cambiante de las ciberamenazas exige un marco de ciberseguridad integral y adaptable, lo que ha llevado al Parlamento Europeo y al Consejo a promulgar las medidas más exhaustivas que se recogen en la NIS2.
7 cambios y ampliaciones clave
Ampliación del alcance
La Directiva NIS2 amplía su ámbito de aplicación al incluir nuevos sectores fundamentales para la economía y la sociedad. Se establece un límite de tamaño claro, que abarca a las medianas y grandes empresas, con flexibilidad para que los Estados miembros identifiquen a las entidades más pequeñas con perfiles de riesgo de seguridad elevados.
Clasificación de entidades
A diferencia del enfoque anterior, la directiva elimina la distinción entre operadores de servicios esenciales y proveedores de servicios digitales. Las entidades se clasifican ahora en dos categorías: esenciales e importantes, y están sujetas a regímenes de supervisión distintos.
Requisitos de seguridad y presentación de informes
Con el fin de reforzar las medidas de ciberseguridad, la directiva impone a las empresas un enfoque de gestión de riesgos. Se establece una lista mínima de elementos básicos de seguridad, acompañada de disposiciones precisas sobre la notificación de incidentes, el contenido de los informes y los plazos.
Supply Chain
Reconociendo el papel fundamental que desempeñan las cadenas de suministro, la directiva obliga a las empresas a abordar los riesgos de ciberseguridad en sus cadenas de suministro y en sus relaciones con los proveedores. A nivel europeo, se ha adoptado un enfoque más riguroso para proteger las tecnologías de la información y la comunicación clave.
Descubre cómo OPSWAT proteger la cadena de suministro de Hitachi Energy.
Medidas de supervisión y ejecución
Las medidas de supervisión más estrictas para las autoridades nacionales, el refuerzo de los requisitos de aplicación de la normativa y la armonización de los regímenes sancionadores en todos los Estados miembros tienen por objeto crear un marco de aplicación de la normativa en materia de ciberseguridad más unificado y eficaz.
Cooperación e intercambio de información
La Directiva refuerza el papel del Grupo de Cooperación en la formulación de decisiones estratégicas, fomentando un mayor intercambio de información y una mayor cooperación entre las autoridades de los Estados miembros. La cooperación operativa, especialmente en la gestión de crisis cibernéticas, constituye un aspecto fundamental.
Divulgación coordinada de vulnerabilidades
La Directiva NIS2 establece un marco básico para la divulgación coordinada de vulnerabilidades, en el que participan los principales actores responsables de toda la UE. Crea un registro de la UE gestionado por la Agencia de la UE para la Ciberseguridad (ENISA) con el fin de facilitar el proceso de divulgación.
Una Secure más Secure
La Directiva NIS2 supone un hito importante en el compromiso de la UE con la ciberseguridad. Al subsanar las deficiencias de su predecesora y adaptarse a las necesidades actuales, esta directiva establece un marco integral que permite a las empresas y organizaciones desenvolverse en el complejo y cambiante panorama de las amenazas cibernéticas.
¿Quieres saber más sobre el cumplimiento normativo en materia de ciberseguridad? Descubre las principales normativas de todo el mundo en nuestro blog.
¿Y ahora qué?
A medida que se acerca la fecha límite para el cumplimiento, las empresas y organizaciones deben mantenerse informadas sobre las disposiciones de la Directiva NIS2. La adopción proactiva de las medidas descritas no solo garantizará el cumplimiento, sino que también contribuirá a crear un entorno digital más resiliente y seguro en toda la Unión Europea.
Descubra cómo OPSWAT , desde la TI hasta la TO y todo lo demás, pueden ayudar a su organización a cumplir con la NIS2 y otras normativas clave: hable hoy mismo con un experto.
