El próximo 18 de octubre de 2024 entrará en vigor la Directiva NIS2, una legislación clave para fortalecer la ciberresiliencia de los sectores críticos en la Unión Europea. Esta normativa, que sustituye a la anterior Directiva NIS, introduce un marco más riguroso en cuanto a la gestión de los riesgos de ciberseguridad, ampliando su alcance y estableciendo severas sanciones económicas en caso de incumplimiento. Para las empresas de la UE, el cumplimiento de la NIS2 no es solo una obligación legal, sino una necesidad estratégica ante la creciente amenaza de ciberataques.
Carlos Bereciartua, Director de Consultoría en Ciberseguridad de Aon España, subraya la importancia de que las organizaciones tomen medidas inmediatas para alinearse con esta nueva regulación. «La NIS2 amplía su ámbito de aplicación, cubriendo más sectores y endureciendo las exigencias para la gestión de los ciberriesgos», comenta. Además, destaca el papel fundamental de la dirección de las empresas en la supervisión y ejecución de las medidas de ciberseguridad.
Principales cambios de la Directiva NIS2
- Ampliación del alcance: A diferencia de su predecesora, la NIS2 incluye más sectores dentro de su ámbito de aplicación, como la cadena de suministro, la producción alimentaria y la administración pública. Esto implica que empresas de mediano y gran tamaño, tanto dentro como fuera de la UE, deben cumplir con la nueva normativa si operan en sectores considerados esenciales o importantes.
- Requisitos más estrictos: La nueva directiva impone medidas más rigurosas para la gestión de los riesgos cibernéticos. Las organizaciones deberán fortalecer la seguridad de sus redes, mejorar los controles de acceso y establecer protocolos de respuesta ante incidentes.
- Cooperación a nivel europeo: Uno de los objetivos de la NIS2 es fomentar una mayor colaboración entre los países miembros de la UE en la gestión de cibercrisis, permitiendo a las empresas compartir información y recursos ante amenazas comunes.
Responsabilidad corporativa y sanciones
Una de las principales novedades de la NIS2 es la atribución de mayor responsabilidad a los altos directivos de las empresas en materia de ciberseguridad. La dirección no solo deberá supervisar, sino también aprobar y formarse en las medidas adoptadas para proteger a la organización. El incumplimiento de esta normativa podría acarrear multas significativas, así como la inhabilitación temporal para ejercer funciones directivas.
Además, la NIS2 establece plazos claros para la notificación de incidentes de seguridad, exigiendo que las empresas informen de manera rápida a las autoridades correspondientes. El incumplimiento de estos procedimientos de notificación también podría derivar en sanciones económicas.
Para cumplir con los requisitos de la NIS2, las empresas deben implementar al menos 10 medidas de ciberseguridad esenciales, que incluyen la mejora de la seguridad en la cadena de suministro, la aplicación de protocolos de cifrado y el refuerzo de las defensas de red. Además, deben contar con planes robustos de recuperación ante desastres y establecer equipos especializados en respuesta a crisis cibernéticas.
Carlos Bereciartua aconseja a las organizaciones que comiencen a prepararse lo antes posible. «La ciberresiliencia no solo protege a la empresa frente a sanciones, sino que también refuerza su reputación y confianza en un entorno digital cada vez más desafiante», afirma.
Con la entrada en vigor de la NIS2, la UE busca asegurar que las empresas estén mejor preparadas ante las crecientes amenazas cibernéticas, promoviendo un entorno de mayor colaboración y seguridad en todo el territorio europeo. Para las organizaciones, es el momento de actuar y garantizar que sus estrategias de ciberseguridad estén a la altura de los nuevos desafíos.