La Directiva NIS2 para la ciberseguridad de las pymes
Una normativa se hace necesaria cuando los avances tecnológicos no cesan
La digitalización que ha envuelto a todos los ámbitos de la realidad durante los últimos años, ha traído cosas infinitamente buenas. La oportunidad de trabajar desde casa, o bien de resolver todo tipo de trámites con la facilidad de un ordenador, ha cambiado nuestra manera de enfrentarnos al día a día.
No obstante, ese avance tecnológico, sobre todo en los sistemas de información y redes de cualquier tipo de institución, también entraña una nueva problemática. Esta es la ciberseguridad, y la oportunidad de tener las herramientas necesarias para afrontar cualquier intento de obtener información de forma indebida.
Es cierto que la ciberseguridad ha avanzado mucho, especialmente después del periodo de la pandemia del covid19, cuando eran muchos los intercambios que se realizaban a través de Internet. Pero ha sido necesario profundizar en que las pequeñas y medianas empresas también necesitan esta garantía de seguridad a la hora de sacar adelante sus proyectos. Esto se ha hecho a través de la directiva NIS2, y es interesante conocerla a fondo para valorar si cubre todos los espacios donde podrían surgir problemas.
La directiva NIS2: Una fecha límite para ampliar su aplicación
Fue en el año 2016 cuando la Unión Europea aprobó la directiva NIS, que en la legislación de nuestro país se vio reflejada en el Real Decreto Ley 12/2018. Este lo que hacía era hacer referencia a la obligatoriedad de las medidas de ciberseguridad en diferentes empresas, que fueron a ser llamadas Operadores de Servicios Esenciales.
Sin embargo, con el paso del tiempo y el avance de la digitalización, fue evidente que la directiva NIS tenía bastantes carencias, sobre todo con respecto a su aplicación en empresas de mediano y pequeño tamaño. Así surgió, también en el seno de la Unión Europea, la directiva NIS2, que debe igualmente verse reflejada en la legislación española.
Hay, de hecho, una fecha límite para que esto pase, y es en este mismo año 2024. En concreto, España debe elaborar un Real Decreto antes del 17 de octubre de este año. La principal diferencia que existe con respecto a la directiva anterior, es que amplia el número de sectores que son considerados críticos y de alta criticidad. Y además aumenta el número de entidades de tamaños más pequeños que lo que se consideró en el año 2016, ahora bastante atrás.
Hay sectores de alta criticidad con diferentes tamaños
La directiva que va a verse reflejada en el Real Decreto antes de octubre de este año, va enfocada a entidades públicas o privadas, consideradas medianas o grandes empresas, que presten sus servicios o realice su actividad dentro de la Unión Europea. Esa es una de las claves del proceso en el que se conforme esta propuesta.
No obstante, con carácter particular la directiva NIS2 también hace referencia a las empresas de tamaño pequeño, pues la anterior directiva solo hablaba de las que tenían más de 50 empleados. Eso sí, las empresas o incluso micro empresas que quieran acogerse a esta directiva deberán argumentar por qué tienen un papel clave en la sociedad, o de cara a la economía del país.
Se habla, en ese sentido, de sectores críticos y de alta criticidad, que son los que primero deberán ser tenidos en cuenta:
- Las entidades consideradas de alta criticidad pertenecen a algunos sectores concretos. Por ejemplo la energía, el transporte, la banca o las infraestructuras financieras. También está en ese parámetro el sector sanitario, el de las aguas potables y la infraestructura digital.
- Dentro de estos sectores de alta criticidad, están los subsectores que son, a su vez, críticos. Y que han sido añadidos a esta nueva directiva con respecto a la anterior: proveedores de centros de datos, por ejemplo, que es, evidentemente, un sector bastante sensible. También los servicios de distribución de contenido, redes públicas y servicios de comunicaciones para el público.
- Otra novedad con respecto a la anterior directiva, y que ha llegado con la evolución del sector digital, es el de las redes sociales. Que además no solo incluyen a estas, sino también a otros servicios derivados como motores de búsqueda en línea y proveedores de mercados en línea.
En definitiva, es interesante saber que se están tomando a nivel europeo, y también a nivel de nuestro país, decisiones con respecto a los pasos que hay que dar para frenar los posibles problemas que se ocasionan en el mundo digital. Y pronto sabremos más sobre cómo va a ser ese Real Decreto que se elaborará en España para cumplir con la normativa europea.
