La Directiva europea NIS 2 (Directiva (UE) 2022/2555), también conocida como la Directiva de seguridad de las redes y sistemas de la información, pretende mejorar la ciberseguridad en toda Europa garantizando que las organizaciones tomen las medidas adecuadas para proteger sus redes y sistemas de información. Entró en vigor el 16 de enero de 2023, y pretende reforzar la ciberseguridad en las industrias clave de la UE. Los Estados miembro deben aplicarla antes del 17 de octubre de 2024. Se aplica a entidades específicas de sectores cruciales, categorizadas como esenciales o importantes, con requisitos compartidos pero medidas de supervisión y sanciones diversas.
¿Quién debe cumplir la Directiva?
La Directiva impone obligaciones específicas a determinadas empresas, incluidos los operadores de servicios esenciales (OES) y los proveedores de servicios digitales (DSP), para que apliquen medidas sólidas de ciberseguridad y notifiquen los incidentes a las autoridades nacionales. Enumera claramente todos los sectores y subsectores (industrias) que deben cumplir esta directiva europea sobre ciberseguridad.
¿Por qué es importante la NIS 2?
La NIS 2 es importante porque establece requisitos de ciberseguridad muy estrictos para un gran número de empresas de la Unión Europea —según algunas estimaciones, más de 100 000 empresas de la Unión Europea tendrán que cumplir la NIS 2. Aunque la NIS 2 no se aplica a tantas empresas como, por ejemplo, el RGPD de la UE, sin duda se convertirá en una norma de facto para infraestructuras críticas que otros países (no pertenecientes a la UE) emularán; ya se ha producido un escenario muy similar en países no pertenecientes a la UE con normativas de privacidad muy similares al RGPD de la UE.
Multas y responsabilidades de la NIS 2
El incumplimiento puede dar lugar a multas sustanciales, de hasta 10 millones de euros o el 2 % del volumen de negocios anual para las entidades esenciales, y de hasta 7 millones de euros o el 1,4 % para las entidades importantes. Las empresas deben evaluar las obligaciones, supervisar la adopción nacional, seguir las orientaciones de las autoridades de ciberseguridad y reforzar las medidas para gestionar los riesgos de ciberseguridad.
Puntos clave de la Directiva:
- Aplicar las medidas técnicas y organizativas adecuadas para garantizar la seguridad de la red y de los sistemas de información
- Notificar ciberincidentes significativos a las autoridades nacionales
- Ofrecer formación adecuada del personal en materia de ciberseguridad
- Llevar a cabo evaluaciones de riesgos periódicas y aplicar planes de respuesta a incidentes
- Colaborar con otras organizaciones y compartir información sobre amenazas para mejorar la resistencia de la ciberseguridad
Como proveedor de ciberseguridad, Kaspersky aprovecha toda su experiencia para ayudar a las empresas a crear ciberdefensas sólidas y cumplir con la NIS 2. Podemos ayudarte con nuestras soluciones y servicios líderes.
Puedes obtener más información sobre la NIS 2 y saber si te afecta en nuestra página web, o puedes enviarnos un correo electrónico para ponerte en contacto directamente.