¿Qué es la Directiva NIS2?

La Directiva NIS2 (Network and Information Security 2) es una normativa crucial publicada en el Diario Oficial de la UE el 27 de diciembre de 2022. Su principal objetivo es garantizar un elevado nivel común de ciberseguridad de toda la Unión Europea.  

La Directiva NIS original de 2016 fue la primera legislación sobre ciberseguridad. Sin embargo, debido a la rápida evolución de las amenazas cibernéticas y la creciente dependencia de las tecnologías digitales, se necesitaba un marco más robusto. La NIS2 cumple con esta necesidad, ofreciendo una base más sólida para proteger infraestructuras críticas y servicios esenciales. 

¿Qué sectores se encuentran bajo la aplicabilidad? 

La Directiva NIS 2 diferencia dos tipos de sectores de aplicación: “Sectores de alta criticidad” y “Otros sectores críticos”. En total, hay 18 sectores a los que aplica la Directiva, siendo 11 los sectores de alta criticidad y 7 el resto de los sectores críticos. 

¿A quién aplica la Directiva NIS2? 

La Directiva NIS2 se aplica a empresas públicas y privadas. En general, cubre a medianas (50-250 empleados y entre 10-50 millones de euros de ingresos anuales) y grandes compañías (más de 250 empleados y 50 millones de euros de ingresos). 

En España, y en términos generales, aproximadamente hay 25.000 empresas con plantillas superiores a 50 empleados, y buena parte de ellas estarán afectadas por NIS2. 

¡NIS2 también afecta a las pequeñas empresas! 

Las pequeñas empresas, aunque están exentas por tamaño, algunas deberán cumplir con la normativa si su actividad es crítica, si son el único proveedor de un servicio esencial, o si colaboran con empresas esenciales. 

La NIS 2 distingue dos tipos de entidades 

Entidades esenciales: 

• Compañías que se clasifican como grandes empresas y pertenecen a uno de los 11 sectores críticos  

• Sectores muy importantes (como energía, banca, sanidad, transporte, etc.).  

• Proveedores de servicios de confianza en internet.  

• Empresas que gestionan nombres de dominio y DNS.  

• Redes y servicios de comunicación públicos. Entidades públicas y empresas medianas de especial importancia.  

• Otras entidades que cada país considere esenciales. 

Entidades importantes: 

• Entidades de sectores de alta criticidad o sectores críticos que no son consideradas entidades esenciales. 

La Directiva NIS2 se aplica a cualquier entidad de los sectores relevantes que cumpla con los criterios de mediana empresa según el derecho europeo. Esto implica tener al menos 50 empleados o un volumen de negocio anual o balance general superior a 10 millones de euros. 

En ciertos casos (por ejemplo, si tu empresa da servicio a una entidad esencial o importante), la Directiva NIS 2 también se aplica independientemente del tamaño o sector. 

Medidas a implementar 

La Directiva NIS2 subraya la importancia de la cadena de suministro en la ciberseguridad. Las empresas deben evaluar los riesgos no solo en sus sistemas, sino también en los productos y servicios de sus proveedores. Esto incluye: 

• Medidas de ciberseguridad en los contratos: Garantizar que los acuerdos exijan medidas de seguridad adecuadas por parte de los proveedores. 

• Mitigación de riesgos: Un fallo en la seguridad de un proveedor puede afectar a toda la organización; por tanto, es vital contar con un plan integral de evaluación y respuesta. 

• Evaluación de la ciberseguridad de los proveedores: Asegurarse de que los productos y servicios adquiridos cumplen con los estándares de seguridad. 

Estas prácticas aseguran que tanto las grandes entidades como sus proveedores estén alineados, minimizando los riesgos de ciberincidentes en toda la cadena.

¿Qué medidas hay que llevar a cabo?

La Directiva NIS2 exige que las entidades esenciales e importantes adopten medidas técnicas, operativas y organizativas para gestionar los riesgos de ciberseguridad en sus redes y sistemas, minimizando el impacto de posibles incidentes. 

Análisis previo: Antes de aplicar medidas, se debe realizar un análisis sistémico que tenga en cuenta el factor humano y la dependencia de los sistemas. Las medidas deben ser proporcionales al impacto potencial de los ciberincidentes; a mayor riesgo, mayores esfuerzos en la gestión de riesgos. 

1. Implementar políticas de seguridad y realizar análisis de riesgos periódicos.  
2. Establecer un proceso completo para la gestión de incidentes. 
3. Incluir gestión de copias de seguridad, recuperación ante desastres y gestión de crisis. 
4. Asegurar la seguridad en las relaciones con proveedores. 
5. Considerar la seguridad en la adquisición, desarrollo y mantenimiento de redes y sistemas, gestionando vulnerabilidades.
6. Implementar políticas para evaluar la eficiencia de las medidas de gestión de riesgos de ciberseguridad. 
7. Adoptar prácticas básicas de ciberhigiene y formación en ciberseguridad. 
8. Establecer políticas para el uso de criptografía y cifrado. 
9. Implementar políticas de control de acceso y gestión de activos. 
10. Utilizar soluciones de autenticación multifactor o continua. 

Las medidas de gestión de riesgos de ciberseguridad deben ser aprobadas y supervisadas por los Órganos de Dirección de las entidades esenciales e importantes, ya que ellos son responsables en caso de incumplimiento. Además, deben participar en formaciones periódicas sobre gestión de riesgos. Los empleados, con el apoyo de la dirección, también deben actualizar sus conocimientos de manera continua para poder identificar y gestionar riesgos de ciberseguridad. 

Guía Directiva NIS2

En Arditec, te ofrecemos las herramientas y el apoyo necesarios para que tu empresa cumpla con la Directiva NIS2. Te ayudamos a comprender su impacto y a implementar las medidas clave para proteger tus sistemas e infraestructuras críticas.

Descarga nuestra guía y asegúrate de que tu organización esté un paso adelante en ciberseguridad y cumplimiento normativo.