Por Mónica Maganto,
Cybersecurity Solutions Specialist
En un mundo cada vez más digitalizado, la seguridad cibernética se ha convertido en una preocupación central para gobiernos, empresas y ciudadanos por igual. Con el objetivo de fortalecer la resiliencia de las infraestructuras críticas y garantizar la protección de los servicios esenciales en la Unión Europea, se ha diseñado una estrategia de Ciberseguridad introduciendo la nueva versión de la Directiva de Seguridad de las Redes y de la Información (NIS2). A continuación, exploraremos los aspectos clave de esta nueva normativa.
¿Qué es la directiva NIS2 y cuándo entra en vigor?
La Directiva NIS2, la segunda iteración de la Directiva de Seguridad de las Redes y de la Información, se basa en que todos los estados miembros deberán reportar los incidentes de seguridad que están sucediendo para tener una visión global a nivel europeo en ciberseguridad de modo que se pueda velar por la seguridad de las redes y sistemas de información en el territorio de la UE. Asimismo, dicha normativa expone las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión Europea.
Fue publicada en septiembre de 2022 y se ha establecido un plazo para que los Estados miembros trasladen la directiva a su legislación que finaliza el 17 de enero de 2024. Una vez la legislación esté definida, durante el primer trimestre de 2025, los Estados deberán comunicar el régimen sancionador aplicable por incumplimiento a todas esas entidades que se vean afectadas.
¿Quién tiene que cumplir la directiva NIS2?
La antigua Directiva NIS ya aplicaba a una amplia gama de sectores como por ejemplo el de la energía, banca, transporte o sector sanitario. Actualmente se ha ampliado a 18 sectores, los cuales se dividen en dos tipologías: Alta Criticidad que corresponden a entidades esenciales y otros sectores críticos.
Alta Criticidad: Energía, Transporte, Espacio, Infraestructuras de mercados financieros, Sector Sanitario, Banca e Infraestructura digital.
Otros sectores críticos: Aguas potables, Administración Pública, Proveedores digitales, Alimentación, Investigación, Gestión de residuos, Aguas residuales, Gestión de servicios TIC (B2B), Servicios postales, Fabricación y Química.
Dentro de estos sectores estarán exentas las microempresas, pequeñas y medianas empresas de menos de 250 personas; o cuyo volumen anual de negocios no exceda los 50 millones de euros o cuyo balance general anual no exceda los 43 millones de euros.
De todos modos, existe una excepción dentro de este último requerimiento. Independientemente del tamaño, la Directiva será aplicada a aquellas empresas que den servicio de comunicaciones, dominios, redes, etc.
¿Qué sanciones comprende la NIS2?
Los Estados miembros tendrán como fecha límite el 17 de enero de 2025 para comunicar el régimen de sanciones aplicables por incumplimiento a la Comisión Europea. De todos modos, la NIS2 establece un marco de sanciones que serán efectivas, proporcionales y disuasorias teniendo en cuenta las circunstancias en cada caso particular.
Los Estados miembros tomarán como referencia las siguientes cuantías en función del tipo de entidad:
- Para las entidades esenciales, las sanciones podrán ser, optándose por la de mayor cuantía, de hasta 10.000.000€ o de un máximo de un 2% del volumen de negocio anual total a nivel mundial del ejercicio financiero anterior.
- Para las entidades importantes, las sanciones podrán ser, optándose por la de mayor cuantía, de hasta 7.000.000€ o de un máximo de un 1,4% del volumen de negocio anual total a nivel mundial del ejercicio financiero anterior.
Además de las sanciones económicas, la NIS2 también contempla la posibilidad de otras medidas correctivas, como la supervisión continua, auditorías de seguridad y la imposición de medidas específicas para abordar las deficiencias identificadas en los sistemas de ciberseguridad.
Obligatoriedades
La nueva Directiva NIS2 obliga a las compañías a notificar los incidentes de seguridad al CSIRT asignado de referencia, o a la autoridad competente asignada.
¿Qué hay que notificar?
Cualquier incidente que tenga un impacto significativo, es decir, que suponga una parada en la producción y provoque una discontinuidad del negocio, y que tenga un impacto reputacional o económico dentro de la compañía.
¿Cómo hay que notificarlo?
Una vez se haya detectado el incidente, la notificación deberá realizarse dentro de las primeras 24h y al cabo de 72h habrá que actualizar la evolución de la resolución del incidente de seguridad exponiendo la gravedad, impacto y cuáles son los indicadores de compromiso identificados.
Finalmente, en el plazo de un mes habrá que realizar un informe final con detalle del incidente y las medidas adoptadas para solucionarlo.
¿Cómo podemos ayudarte a cumplir con la directiva desde ABAST?
El área de ciberseguridad de ABAST puede ayudarte a afrontar esta nueva normativa a través de CybAll SOC powered by Cyrebro que se basa en los pilares fundamentales de la CiberObservabilidad y la Ciberinteligencia.
CybAll SOC es un servicio de SOC que asegurará a tu empresa tener una estrategia, procedimientos y políticas definidos, supervisión y reporting constante sobre cómo está evolucionando el modelo de ciberseguridad. Pero no solo la monitorización es importante, sino que CybAll SOC también es proactivo, ya que permite realizar análisis de vulnerabilidades, auditorías técnicas, revisiones de la salud de los sistemas de información en materia de ciberseguridad para ir elevando el nivel de madurez en materia de ciberseguridad, de los sistemas de información.
El servicio cuenta, además, con la plataforma Cyrebro para la monitorización de la Seguridad de activos críticos y la gestión de las alertas para una detección y respuestas inmediatas frente a amenazas.
En definitiva, la Directiva NIS2 representa un paso significativo en la mejora de la ciberseguridad en la Unión Europea y se espera que impulse la conciencia y la preparación en materia de ciberseguridad en toda la región, asegurando un entorno digital más seguro y resistente para todos.
Si te surgen dudas o quieres saber más sobre nuestra solución CybAll SOC by Cyrebro no dudes en ponerte en contacto con nosotros a través de nuestro formulario web.