Nueva Directiva NIS2 de la UE: requisitos más estrictos para la ciberseguridad

Puntos de atención para las empresas

Los estados miembros de la Unión Europea (UE) tienen hasta septiembre de 2024 para implementar la nueva directiva de 'Seguridad de Redes e Información' - NIS2. Esta directiva trae una serie de cambios importantes en ciberseguridad. Por ejemplo, se fortalecerán los requisitos de cumplimiento y se aplicarán sanciones en toda la UE. NIS2 también amplía el alcance a empresas y organizaciones en nuevos sectores. Las empresas y organizaciones cubiertas tendrán que tomar medidas adecuadas en áreas como la gestión de riesgos ciber, pruebas de penetración, respuesta a incidentes y remediación. Aquellos que no cumplan con NIS2 se arriesgan a recibir sanciones financieras basadas en el volumen de negocios global de las empresas.

La directiva NIS2

La directiva NIS2 regula a las empresas y gobiernos en materia de ciberseguridad y seguridad de la información. Se traduce en transposiciones nacionales y actúa como una ley vinculante, lo que significa que su organización (si está dentro del alcance) deberá cumplir con los requisitos establecidos en dicha norma. La directiva NIS2 amplía los requisitos y sanciones de ciberseguridad para armonizar y optimizar el nivel de seguridad en los estados miembros, con requisitos más estrictos para diferentes sectores. Las empresas y organizaciones tendrán que lidiar con la gestión de riesgos cibernéticos, control y monitoreo, manejo de incidentes y continuidad del negocio, entre otros. Además, la directiva también amplía el número de organizaciones dentro del alcance. 

Más organizaciones afectadas por NIS2

La directiva NIS2 distingue entre "entidades esenciales" y "entidades importantes o  de sectores de alto impacto" (ver todos los sectores en la tabla a continuación). La principal diferencia entre ambas es que las entidades importantes enfrentarán sanciones financieras menores y estarán sujetas a una supervisión reactiva por parte de las autoridades, en contraste con la supervisión proactiva reservada para las entidades esenciales. Esto significa que, a menos que haya una razón para ello, como un incidente ciber o informes de organizaciones externas como auditores u otras partes de la cadena de suministro, una entidad importante no enfrentará una supervisión directa de los reguladores y autoridades.

El alcance de los sectores se ha ampliado ya que la Comisión Europea quiere cubrir todas las organizaciones que desempeñan funciones importantes en la sociedad. Esto significa que NIS2 también se aplica a sectores como la producción de alimentos, gestión de residuos y toda la cadena de suministro. 'El enfoque de la directiva NIS2 no es tanto en cómo los incidentes ciber pueden generar un riesgo para su organización o dañar su negocio', dice Jesús Romero Bartolomé, experto en privacidad de PwC, 'sino en cómo tales incidentes pueden dañar o dificultar a la sociedad y el funcionamiento de otras empresas. Así que el alcance va mucho más allá de las organizaciones tradicionales de infraestructura crítica. En el sector energético, por ejemplo, el alcance bajo NIS siempre se limitó a las empresas que producen, suministran energía en los sectores de electricidad y gas natural. Bajo NIS2, esperamos que la cadena de suministro, por ejemplo, los fabricantes de aerogeneradores y los operadores de estaciones de carga de vehículos eléctricos, también estén cubiertos por los requisitos.'

Entidades esenciales e importantes por sector

Energía: suministro, distribución, transmisión y venta de electricidad, gas, petróleo, calefacción/refrigeración, hidrógeno, operadores de puntos de carga de vehículos eléctricos Esencial                              

Transporte aéreo, ferroviario, por carretera y por agua (incluidas las compañías navieras e instalaciones portuarias

Esencial
Banca/finanzas: crédito, comercio, mercado e infraestructura Esencial
Salud: proveedores de atención médica, laboratorios de investigación, productos farmacéuticos, fabricación de dispositivos médicos Esencial
Agua: proveedores de agua potable y operadores de aguas residuale Esencial
Infraestructura digital y servicios de TI: DNS, registros de nombres, servicios de confianza, centros de datos, computación en la nube, servicios de comunicación electrónica, servicios gestionados y servicios de seguridad gestionado Esencial
Administración pública: (central, regiones + local opcional) Essential
Espacio: operadores de infraestructura basada en tierra Essential

Proveedores de servicios postales y de mensajería

Importante

Gestión de residuos

Importante
Productos químicos: producción y distribución Importante
Alimentos: distribución y producción Importante

Fabricantes: dispositivos médicos/diagnósticos, computadoras, electrónica, óptica, maquinaria, vehículos motorizados, remolques, semirremolques, otros equipos de transporte

Importante

Proveedores digitales: mercados en línea, motores de búsqueda, plataformas sociales

Importante
Organizaciones de investigación Importante

Requisitos de NIS2 para las organizaciones

La directiva NIS2 establece requisitos para la gestión, el control de riesgos, la continuidad del negocio y el reporte a las autoridades. Jesús señala las principales áreas de preocupación:

'Las autoridades no notifican si esta directiva se aplica a su organización, su organización debe evaluarse a sí misma en función de los criterios que incluyen tanto elementos de la industria como consideraciones de tamaño. Si una organización con una gran cuota de mercado en un sector particular es "importante", puede incluso considerarse "esencial" debido a su tamaño.

La gestión de su organización debe estar familiarizada con los requisitos de la directiva y los esfuerzos de gestión de riesgos. Se les otorga responsabilidad directa para asegurar que los riesgos ciber sean identificados, abordados y que se cumplan los requisitos.

Los mayores requisitos de gestión de riesgos y resiliencia significan que su organización debe gestionar riesgos e implementar tanto medidas de prevención de daños como de mitigación que reduzcan riesgos e impactos. Se esperan medidas adecuadas, por ejemplo, en torno a la gestión de incidentes, la ciberseguridad en las cadenas de suministro, la seguridad de la red, el control de acceso y el cifrado.

Su organización debe considerar cómo asegurar la continuidad del negocio si es impactada por un incidente cibernético mayor. Esto incluye, por ejemplo, la recuperación de sistemas, procedimientos de emergencia y el establecimiento de una organización de crisis.

Finalmente, las organizaciones deben tener procesos en marcha para asegurar un reporte adecuado a las autoridades. Entre otras cosas, hay un requisito estricto de que los incidentes graves se reporten dentro de las 24 horas.

Sanciones financieras

Las sanciones se amplían mediante la directiva NIS2 para incluir multas similares a las del RGPD basadas en el volumen de negocios global. Estas penalizaciones se basan en si las organizaciones son parte de una entidad esencial o una entidad importante. Para las entidades esenciales, las multas se basan en un mínimo de diez millones de euros, o el dos por ciento del volumen de negocios anual global, lo que sea mayor. Para las entidades importantes, las multas se basan en un mínimo de siete millones de euros o el 1,4 por ciento del volumen de negocios.

Además, hay responsabilidad personal y potencialmente penal para los individuos a nivel del consejo de administración si no cumplen con sus obligaciones bajo la directiva. Las entidades esenciales pueden esperar una supervisión continua, incluyendo auditorías, requisitos de reporte y revisiones por pares. Las entidades clave pueden esperar supervisión, auditorías obligatorias y reportes si no se cumplen las normas en la organización.

Pasos clave para prepararse para la directiva NIS2

Basándonos en nuestra experiencia trabajando con organizaciones en toda la UE, recomendamos los siguientes pasos:

  • Evaluar si estará sujeto por el cumplimiento de  la directiva NIS2.

  • Identificar los GAPs en relación con los requisitos de la directiva.

  • Identificar las medidas necesarias para cumplir con las obligaciones en la gestión.

  • Diseñar e implementar un marco sólido de ciberseguridad que incluya medidas organizativas y técnicas.

  • Diseñar e implementar mecanismos de monitorización para validar continuamente la efectividad de las medidas.

Contacta con nosotros

Jesus Romero, Socio responsable de Business Security Solutions

Jesús Romero

Socio responsable de Business Security Solutions de PwC España

Síguenos en