Preparación de las empresas de la UE para el cumplimiento de la NIS2

La nueva Directiva NIS2 trae consigo un amplio ámbito de aplicación, estrictas sanciones y el papel fundamental de la dirección, los cuales proporcionan una base sólida para protegerse contra los ciberriesgos en constante evolución.

Principales ideas

• La NIS2, que entrará en vigor el 18 de octubre de 2024, tiene como objetivo mejorar la resiliencia de los sectores críticos de la Unión Europea.
• La Directiva hace especial hincapié en la responsabilidad personal de las partes interesadas en la gestión de los riesgos de ciberseguridad e incluye duras sanciones económicas en caso de incumplimiento.
• Las empresas deben aplicar 10 medidas cruciales de ciberseguridad para cumplir la nueva legislación.

Las empresas de la UE están presionadas para cumplir la próxima Directiva sobre redes y sistemas de información (NIS2),¹ una legislación centrada en aumentar la ciberseguridad. El incumplimiento de los requisitos de la nueva Directiva podría acarrear importantes multas y daños a la reputación.

La Directiva NIS2 amplía su ámbito de aplicación más allá de la Directiva NIS para abarcar más sectores, como las cadenas de suministro, la producción de alimentos y la administración pública, y se centra en la necesidad de una aplicación coherente en todos los Estados miembros de la UE. La NIS2 también introduce reglas de limitación en relación al tamaño. Esto significa que todas las entidades medianas y grandes que operan en los sectores cubiertos están ahora sujetas a las disposiciones de la Directiva. Con esta ampliación se pretende mejorar la ciberseguridad en infraestructuras e industrias fundamentales para la economía.

Más artículos similares

• Informe: Informe de ciberresiliencia 2023
• Artículo: Los ciberseguros en Estados Unidos: tendencias y oportunidades del mercado
• Artículo: Superar el coste reputacional de los ciberataques: un plan de 10 días

El objetivo principal de la NIS2 es mejorar la ciberresiliencia de las empresas de la UE fomentando una postura proactiva en materia de ciberseguridad y garantizando una colaboración más estrecha entre las empresas y sus proveedores externos.»

Amine Menaa

Cyber Consulting Head Nordics, Cyber Engagement Leader, EMEA

Principales cambios de la Directiva NIS2

1. Ámbito de aplicación más amplio
   • NIS2 amplía el ámbito de aplicación para incluir más sectores y servicios como organizaciones «esenciales» o «importantes«.
   • Las empresas con sede fuera de los Estados miembros de la UE (con o sin filiales) que suministran productos a los Estados miembros incluidos en el ámbito de la NIS2 deben cumplirla.²
   • La gestión de riesgos de ciberseguridad se amplía para incluir la seguridad de la cadena de suministro.
2. Requisitos más estrictos
   • La NIS2 introduce medidas de gestión de riesgos de ciberseguridad más estrictas.
3. Cooperación en toda la UE
   • La Directiva sirve de base para el establecimiento de la red europea de organizaciones de enlace para la gestión de cibercrisis.³

La NIS2 no sólo insta a las organizaciones a mejorar su propia ciberresiliencia, sino que también espera fomentar la cooperación entre sectores para que las empresas puedan compartir información y asesoramiento sobre futuras amenazas y cómo hacerles frente.»

Juliette Roest

Consultant, Cyber Risk, Netherlands

En el marco de la NIS2, las organizaciones deben cumplir estrictos requisitos de seguridad para garantizar la ciberresiliencia. Estos requisitos incluyen sólidas prácticas de gestión de riesgos, planificación de la continuidad del negocio, responsabilidad corporativa y obligaciones de notificación.

Requisitos de la NIS2

Gestión de riesgos

• Las organizaciones están obligadas a tomar medidas decisivas para adherirse a la nueva Directiva y mitigar eficazmente los ciberriesgos.
• Esto implica aplicar protocolos sólidos de gestión de incidentes, reforzar la seguridad de la cadena de suministro, fortalecer las defensas de la red, mejorar los mecanismos de control de acceso y adoptar prácticas de cifrado.
• También se exigen pruebas de las políticas de ciberseguridad aplicadas, como los resultados de las auditorías de seguridad y las respectivas pruebas subyacentes.

Continuidad del negocio

• Las entidades deben elaborar estrategias para garantizar la continuidad de las operaciones empresariales en caso de incidentes cibernéticos significativos.
• Esto implica la formulación de planes integrales de recuperación del sistema, el establecimiento de protocolos de emergencia y la formación de un equipo especializado de respuesta a las crisis.

Responsabilidad corporativa

• La NIS2 impone a la dirección de la empresa la responsabilidad de supervisar, avalar y recibir formación sobre las medidas de ciberseguridad de la organización. No abordar adecuadamente los ciberriesgos podría dar lugar a sanciones para la dirección, incluida la responsabilidad potencial y la prohibición temporal de desempeñar funciones directivas.

Obligaciones de notificación

• La Directiva establece obligaciones específicas de notificación, así como los plazos. El incumplimiento de estos procedimientos de notificación puede dar lugar a multas administrativas.
• Las notificaciones puntuales al Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT) son cruciales, con plazos fijados en 24 horas, 72 horas y un mes. Las empresas deben facilitar la evaluación de la gravedad de los daños y asegurarse de que todas las partes interesadas estén informadas de su papel en el proceso de notificación.

Mayor responsabilidad y obligaciones en adelante

Los órganos de dirección son responsables de supervisar y aprobar las medidas de ciberseguridad, así como de garantizar el cumplimiento de la Directiva. El incumplimiento de estas responsabilidades puede acarrear importantes sanciones económicas, lo que pone de relieve la importancia de un compromiso proactivo por parte de la dirección.

«A menudo faltan conocimientos sobre gestión de riesgos de ciberseguridad, sobre todo en las empresas más pequeñas«, afirma Juliette Roest, Cyber Risk Consultant de Aon en los Países Bajos. «Aunque el departamento de TI tiende a ser responsable de la gestión de la seguridad de la información, por lo general no tiene una visión general de las necesidades de la empresa y los riesgos asociados a ellas«.

La aplicación de la gobernanza de la NIS2 anima a la dirección y al consejo de administración a supervisar eficazmente los riesgos de la empresa y proporcionar toda la información y recursos necesarios para garantizar la resiliencia en caso de incidente cibernético.

10 millones de €

o el 2% del volumen de negocios total anual global es la multa máxima que puede imponerse a las entidades esenciales por incumplimiento de la Directiva NIS2.

Fuente: Artículo 32 – Medidas de supervisión y ejecución en relación con las entidades esenciales

Leer más

Aunque la dirección y el consejo de administración siempre han tenido que rendir cuentas, la nueva Directiva les hará formalmente responsables de cualquier infracción. Esta Directiva subraya el papel fundamental de la ciberseguridad como preocupación de los consejos de administración.»

Jenni Parry

Associate Director, Cyber Risk, EMEA

Estudio de caso – El análisis de deficiencias de acuerdo con la NIS2 ayuda a una gran empresa manufacturera a interpretar y aplicar los controles exigidos

¿Cuál es la historia?

Cuando una gran multinacional nórdica del sector manufacturero vio que entrará en el ámbito de aplicación de la NIS2, solicitó la ayuda de Aon para identificar sus principales ciberriesgos y evaluar el estado actual y la preparación de los controles de seguridad, la gestión de ciberriesgos y la gobernanza.

¿Por qué es importante?

Las organizaciones multinacionales se enfrentan a un impacto potencialmente significativo en todos los países en los que operan. Por lo tanto, el cumplimiento de la Directiva NIS2 ayudaría a la empresa manufacturera a mejorar su ciberresiliencia en todos los territorios.

Resultados

Aon elaboró con éxito una evaluación de riesgos y seguridad, que incluía un análisis de deficiencias de acuerdo con la NIS2, con medidas concretas a adoptar. La empresa manufacturera recibió un informe para presentar el estado actual, así como requisitos para que la dirección se asegure de que la empresa está preparada.

Actuar ya para mejorar la resiliencia de la ciberseguridad

La Directiva NIS2 abarca un amplio abanico de medidas que incluyen la gestión del ciberriesgo operativo, la ciberhigiene, la respuesta a incidentes, la notificación de incidentes y la seguridad de la cadena de suministro.

Empiece ya a prepararse para la Directiva NIS2 aumentando su ciberresiliencia y planteándose las siguientes preguntas:

1. ¿Mi empresa se ve afectada por la NIS2?
2. ¿Está nuestra gestión de riesgos al nivel adecuado para la NIS2?
3. ¿Puede mi empresa notificar adecuadamente los incidentes de ciberseguridad?
4. ¿Cuál es el estado de la gestión de riesgos de la cadena de suministro de mi empresa en lo que respecta a la ciberseguridad?

«Independientemente de la clasificación de su organización como esencial o importante, es imperativo que cada entidad examine a fondo los requisitos descritos en la NIS2«, aconseja Menaa. «Evalúe proactivamente su cumplimiento con suficiente antelación a la fecha límite de aplicación de octubre de 2024«.

¹https://www.nis-2-directive.com/
²https://eur-lex.europa.eu/eli/dir/2022/2555
³https://www.enisa.europa.eu/topics/incident-response/cyclone

Referentes de Aon

• Carlos Bereciartua González, Head of Cyber Consulting
• Patricia Saez Borreguero, Senior Consultant Cyber Solutions