Miles de empresas se disponen a asumir nuevas obligaciones en materia de ciberseguridad
La directiva NIS 2 se aplicará al día siguiente de su trasposición, cuya fecha tope es el próximo 17 de octubre
El próximo 17 de octubre concluye el plazo para la trasposición de la directiva NIS 2 sobre ciberseguridad al ordenamiento jurídico nacional, que será aplicable desde el día siguiente. Esta normativa europea sobre ciberseguridad complementa y actualiza la directiva NIS adoptada en 2016, extendiendo su marco de actuación y estableciendo un conjunto más detallado y exigente de responsabilidades a asumir por las entidades obligadas.
Una de sus principales novedades es que amplía su alcance a sectores que antes no estaban cubiertos. La norma de 2016 se aplicaba a seis sectores: banca, energía, agua, sanitario, transporte e infraestructura digital. La nueva directiva incluye ahora 12 sectores más y los divide a todos en dos grupos: los de alta criticidad y los críticos. “La NIS2 amplía su cobertura a sectores emergentes que también son considerados vitales para la seguridad y la economía”, comenta Boris Delgado, director de industria y TIC de Aenor.
Entre estos nuevos sectores que tienen que aplicar la nueva normativa de ciberseguridad están, por ejemplo, la gestión de servicios TIC o las infraestructuras de mercados financieros, dentro del grupo de alta criticidad, y todos los calificados como críticos: investigación, servicios postales, química, alimentación, proveedores digitales, gestión de residuos y fabricación. Asimismo, añade Marta Trabado, compliance specialist de A3Sec, la directiva NIS 2, a diferencia de la regulación anterior, también incluye a las pymes que operan en estos sectores si su impacto en la economía y en la sociedad es significativo.
En consecuencia, muchas industrias que anteriormente no estaban reguladas en términos de ciberseguridad deberán ahora cumplir con estrictas medidas de protección de sus sistemas de información. “Este cambio significa que un volumen considerable de empresas, tanto grandes como medianas (según estimaciones, alrededor de 100.000 entidades adicionales), deberán adaptarse a los nuevos requisitos.”, apunta Luis Latassa, socio del departamento de derecho digital y propiedad intelectual de Ejaso. De hecho, el abogado destaca que en los últimos meses las consultas recibidas por el despacho sobre este tema han crecido.
Nuevos deberes
La complejidad de las nuevas obligaciones impuestas por la normativa y las posibles sanciones por incumplimiento son, según los expertos, las principales preocupaciones de las empresas. En este sentido, entre las medidas de seguridad que deben implantar las organizaciones, de acuerdo con la directiva NIS 2, destacan la implementación de políticas de seguridad y análisis de riesgos, la gestión de incidentes, la continuidad de las actividades del negocio (incluyendo copias de seguridad y recuperación ante desastres), la seguridad en la cadena de suministro, o la notificación de incidentes. “Estas medidas deben ser proporcionales a los riesgos a los que la empresa esté expuesta, al tamaño de la entidad y a la gravedad de los incidentes que puedan ocurrir, teniendo en cuenta tanto el impacto económico como social”, explica Luis Latassa.
Del mismo modo, como indica Boris Delgado, el nivel de exigencia en el establecimiento de estas políticas y planes, así como la supervisión de su cumplimiento, dependen de si la empresa tiene la condición de esencial o la de importante, siendo mayor y más estricto en el caso de las esenciales.
La norma europea define como entidades esenciales aquellas que prestan servicios en sectores de alta criticidad, cuya interrupción tendría un gran impacto en las operaciones diarias y en la seguridad de los ciudadanos. Por su parte, las importantes son aquellas organizaciones, normalmente de menor tamaño, que prestan servicios en sectores críticos y en las que el impacto de la interrupción de su actividad en la sociedad y la economía sería moderado.
En cualquier caso, las compañías que, pese a estar obligadas, no cumplan con lo establecido en la directiva NIS 2 a partir del próximo 18 de octubre (si finalmente se traspone en su fecha límite) se enfrentarán a elevadas multas. “La sanción podría llegar hasta los 10 millones de euros o el 2% de su negocio total anual global, para las entidades esenciales, y hasta los 7 millones de euros o el 1,4% de su negocio total anual global, para las importantes”, detalla Marta Trabado.
Pasos a seguir para adaptarse a la NIS 2
Evaluación previa. Realizar un análisis exhaustivo de los riesgos de ciberseguridad de la empresa en relación con los requisitos de la directiva. “Este análisis inicial permite identificar las brechas entre las prácticas actuales de la empresa y las obligaciones impuestas por la NIS 2”, señala Luis Latassa, socio del departamento de derecho digital y propiedad intelectual de Ejaso.
Políticas de gestión. Desarrollar políticas, procedimientos y planes alineados con los estándares de la directiva y ejecutar las acciones pertinentes identificadas en el diagnóstico. “Contar con un marco documental sólido en materia de seguridad de la información, que incluya procedimientos de gestión de incidentes y continuidad del negocio”, explica Marta Trabado, compliance specialist de A3Sec.
Concienciación y formación. Fomentar una cultura de seguridad dentro de la organización, así como proporcionar formación continua a todos sus empleados, desde el personal operativo hasta la alta dirección, en materia de seguridad y buenas prácticas.
Detección y respuesta. Establecer mecanismos efectivos para detectar cualquier amenaza de manera temprana y planes de respuesta a incidentes de seguridad.
Pruebas y actualizaciones. Todos los sistemas y sus componentes deben estar actualizados y parcheados de forma regular para garantizar que se mantengan resilientes frente a ciberataques.
Supervisión y colaboración. Supervisar de forma continua los sistemas para poder detectar y responder a las posibles amenazas, así como mantener una colaboración activa con los organismos competentes en materia de ciberseguridad.