No es novedad que la cantidad de delitos cibernéticos ha aumentado significativamente en todo el mundo, especialmente en Europa. Por eso se publicó la Directiva de Sistemas de Información y Redes (NIS) en julio de 2016, con el objetivo de mejorar el nivel general de ciberseguridad en la Unión Europea (UE).


Basándose en esa primera legislación a nivel de la UE sobre ciberseguridad, la NIS 2 entró en vigor en diciembre de 2022 para fortalecer la ciberseguridad en la UE, trayendo un conjunto de medidas obligatorias que los estados miembros deben adoptar antes del 17 de octubre de 2024.


Para garantizar el cumplimiento y evitar multas innecesarias, ahora es el momento para que las organizaciones se preparen para las medidas de la NIS 2. Aquí está todo lo que deben saber.

 

 

¿Qué es la Directiva NIS 2?

Es la legislación de ciberseguridad más completa de la UE hasta la fecha. Su objetivo es establecer pautas para que las organizaciones que brindan servicios esenciales e importantes sepan cómo actuar frente a una amenaza cibernética. También busca mejorar la colaboración entre los estados miembros de la UE en temas de ciberseguridad.

 

Según la Directiva NIS 2, las organizaciones deben implementar al menos las siguientes medidas:

  • Políticas de análisis de riesgos y seguridad de los sistemas de información.
  • Gestión de incidentes.
  • Continuidad del negocio.
  • Seguridad de la cadena de suministro.
  • Prácticas básicas de ciberhigiene y capacitación en ciberseguridad.
  • Procedimientos sobre el uso de criptografía y cifrado.
  • Seguridad de recursos humanos, políticas de control de acceso y gestión de activos.
  • Uso de autenticación multifactor (MFA), soluciones de autenticación continua y sistemas de comunicación seguros.
  • Entre otras.

 

 

¿Qué sectores se ven afectados?

Aproximadamente 160,000 empresas en 18 sectores deberán cumplir con la Directiva NIS 2, básicamente, todas las empresas medianas o grandes, con 50 o más empleados, y más de 10 millones de euros en ingresos. Sin embargo, algunas organizaciones más pequeñas también pueden estar incluidas, sin importar su tamaño, si son identificadas como actores clave por los Estados Miembros.


Esos 18 sectores se dividen en dos categorías:

 

NIS 2 Sectors Infographic ES

 

Ambas categorías deben cumplir con la normativa, pero la diferencia está en cómo se supervisan y en las multas por incumplimiento:

  • Las entidades esenciales pueden recibir multas de hasta 10 millones de euros o al menos el 2% del volumen total de negocios anual a nivel mundial.
  • Las entidades importantes pueden recibir multas de hasta 7 millones de euros o al menos el 1.4% del volumen total de negocios anual a nivel mundial.

 

 

Próximos pasos y plazos de NIS 2

Para prepararse para la Directiva NIS 2, tanto los estados miembros como las empresas deben estar al tanto de lo que sucederá y cuándo. Estas son algunas de las fechas clave a tener en cuenta:

  • Antes del 17 de octubre de 2024
    Los estados miembros deben adoptar las medidas necesarias para cumplir con la Directiva NIS 2. Dichas medidas deberán aplicarse a partir del 18 de octubre de 2024.

  • El 17 de enero de 2025
    El Grupo de Cooperación de NIS establecerá una metodología de revisión entre pares para aprender de las experiencias compartidas, generar confianza mutua, mejorar la ciberseguridad y fortalecer las capacidades y políticas de los Estados Miembros para esta Directiva.

  • Antes del 17 de abril de 2025
    Los estados miembros deberán establecer una lista de entidades esenciales e importantes. Esta lista deberá actualizarse regularmente.

  • Antes del 17 de octubre de 2027
    La Comisión Europea deberá revisar el funcionamiento de la Directiva NIS 2 y presentar un informe al Parlamento Europeo y al Consejo. Esta revisión debe realizarse cada 36 meses a partir de esa fecha.

 

¿Cómo pueden las empresas prepararse para la NIS 2?

Dado el plazo del 17 de octubre de 2024, es recomendable actuar ahora. Puede haber dificultades en el camino, por lo que planificar con anticipación te mantendrá en el buen camino.


Aunque la certificación ISO 27001 ofrece una base sólida para gestionar los riesgos de seguridad, cumplir con los requisitos de NIS 2 variará según la legislación nacional. Las organizaciones que ya cuentan con la certificación ISO 27001 podrían estar más cerca de cumplir con NIS 2, pero deben estar atentas a los requisitos nacionales que van evolucionando para garantizar el alineamiento completo.


Alter Solutions puede ayudarte a identificar los servicios y procesos críticos de tu empresa y garantizar la correcta implementación de todas las medidas de la NIS 2. ¿Cómo lo hacemos?

  • Evaluar y diagnosticar
    Empezamos identificando los servicios y procesos esenciales de tu empresa para entender cómo la Directiva NIS 2 los afectará. Proporcionamos un informe completo y definimos una hoja de ruta con medidas específicas para asegurar el cumplimiento de NIS 2.

  • Implementar las medidas necesarias
    Te ayudamos a definir políticas de gestión de riesgos, un plan de continuidad del negocio, canales de comunicación seguros, capacitación en ciberseguridad, entre otras cosas que deban abordarse. Iniciamos la implementación, teniendo en cuenta el nivel de seguridad específico de tu empresa.

  • Monitorear regularmente
    En este punto, tu empresa ya cumple con NIS 2. Sin embargo, es importante verificar regularmente la efectividad de todas las medidas implementadas y ajustarlas según sea necesario. Esta es una tarea continua con la que te brindamos todo el apoyo que necesites.

 

  Aprende más sobre las implicaciones legales de la Directiva NIS 2 en este artículo.
La Directiva NIS 2 es una legislación de la UE sobre ciberseguridad
Consultoría de Cumplimiento con NIS 2
Alter Solutions puede ayudar a empresas de distintos sectores a prepararse para cumplir la legislación de ciberseguridad más completa de la UE.
Compartir artículo