NIS 2

Es la última política de ciberseguridad de la UE, cuyo objetivo es mejorar la ciberseguridad colectiva de los Estados miembros. Deroga y sustituye a su predecesora, la Directiva NIS, introduciendo requisitos de seguridad más estrictos y obligaciones de información más rigurosas. En esencia, la NIS2 pretende proteger de las ciberamenazas a las organizaciones e infraestructuras críticas de la UE para lograr un alto nivel de seguridad común en toda la UE.

Los sujetos obligados deberán implementar medidas técnicas, operativas y organizativas para gestionar los riesgos de seguridad de las redes y sistemas de información.

A tal fin, la presente Directiva establece lo siguiente:

– Obligaciones que exigen a los Estados miembros adoptar estrategias nacionales de ciberseguridad y designar o establecer autoridades competentes, autoridades de gestión de crisis cibernéticas, puntos de contacto únicos en materia de ciberseguridad (puntos de contacto únicos) y equipos de respuesta a incidentes de seguridad informática (CSIRT).

– Medidas de gestión de riesgos de ciberseguridad y obligaciones de información para entidades críticas.

– Normas y obligaciones sobre el intercambio de información en materia de ciberseguridad.

– Obligaciones de supervisión y ejecución de los Estados miembros.

¿Que hay de nuevo?

La Directiva NIS 2 introduce modificaciones importantes respecto a su predecesora:

Ampliación de los sectores obligados: El NIS 2 amplía el abanico de sectores y entidades que deben cumplir sus requisitos. El número de empresas críticas aumenta a once sectores y el de empresas importantes a siete sectores, lo que hace un total de dieciocho sectores NIS 2.

Requisitos mínimos: Establecer medidas de ciberseguridad obligatorias y sancionables para la notificación de incidentes y la necesaria gestión de riesgos. Los Estados miembros de la UE pueden establecer requisitos más estrictos para su región.

Obligaciones de notificación de incidentes: La directiva exige la notificación de incidentes dentro de las 24 horas siguientes a su detección a las respectivas autoridades nacionales competentes y, en muchos casos, a sus equipos nacionales de respuesta a incidentes de seguridad informática (CSIRT).

Mayor supervisión y sanciones: Un nuevo nivel de fiabilidad. Se prevé una supervisión activa de las empresas obligadas e importantes sanciones para quienes incumplan la normativa, con multas de al menos el 1,4% y hasta el 2% de la facturación total de la empresa, y se podrá exigir responsabilidades a la dirección.

Se incluye la cadena de suministro: Requiere una evaluación de riesgos de las prácticas de seguridad de los principales proveedores terceros afiliados; esto incluye, por ejemplo, a los proveedores de servicios de seguridad gestionados.

Apoyo gubernamental: Las entidades que no cuentan con personal de seguridad adecuado pueden solicitar ayuda en caso de un incidente mayor.

Cooperación:Se intensificará la supervisión y la cooperación entre las autoridades e instituciones nacionales de la UE y se reforzará la jurisdicción europea (UE).