A medida que nos acercamos a la fecha límite de octubre de 2024 para que los estados miembros de la UE adopten la directiva NIS 2, las organizaciones que operan en Europa deben prepararse para los importantes cambios que conlleva para el cumplimiento de la ciberseguridad.
Este artículo pretende arrojar luz sobre la directiva NIS 2, su necesidad, las actualizaciones clave sobre la directiva NIS original y cómo pueden prepararse las empresas para su cumplimiento. Para profundizar aún más en la directiva, descarga el informe sobre la directiva NIS 2 de Sophos.
¿Qué es la Directiva NIS 2?
La directiva NIS 2 es una evolución de la directiva sobre Redes y Sistemas de Información (NIS) original, diseñada para reforzar la postura de ciberseguridad de los estados miembros de la UE. La directiva NIS inicial, promulgada en 2016, estableció directrices para mejorar la resistencia de la ciberseguridad en toda la UE. Sin embargo, con la creciente sofisticación y frecuencia de los ciberataques, especialmente durante y después de la pandemia del covid-19, se hizo patente la necesidad de una normativa más estricta y exhaustiva.
Las ciberamenazas se han intensificado a escala industrial y los ataques de ransomware son cada vez más frecuentes. En junio de 2024, un grupo de ciberdelincuentes conocido como Qilin, vinculado al Kremlin, llevó a cabo un ataque contra Synnovis, un laboratorio de patología utilizado por el Servicio Nacional de Salud del Reino Unido. Los atacantes exigieron un rescate de 40 millones de libras. Cuando el NHS se negó a pagar, publicaron los datos robados en la web oscura.
Además, las tensiones geopolíticas, como la invasión rusa de Ucrania, han subrayado la necesidad de medidas de ciberseguridad sólidas. La directiva NIS 2 pretende abordar estos retos mejorando la seguridad y resistencia de las entidades esenciales e importantes de toda la UE.
Implicaciones para las empresas británicas no pertenecientes a la UE
Aunque se dirige principalmente a los estados miembros de la UE, las empresas no pertenecientes a la UE que operen en ella o presten servicios a entidades de la UE también se verán afectadas. En la actualidad, muchas normativas nacionales no tienen un alcance tan amplio como la directiva NIS 2; sin embargo, sería prudente esperar nuevos cambios en la legislación local a medida que se sigan desarrollando los planes para la legislación de la UE.
Abordando de forma proactiva los retos que se exponen a continuación, las empresas no pertenecientes a la UE pueden protegerse mejor a sí mismas y a sus clientes de las ciberamenazas en evolución, evitando al mismo tiempo sanciones graves por incumplimiento.
Actualizaciones clave de NIS a NIS 2
La directiva NIS 2 introduce varias actualizaciones y ampliaciones críticas con respecto a la original:
Alcance más amplio de las entidades cubiertas
- Entidades Esenciales e Importantes: la NIS 2 clasifica las entidades en “esenciales” e “importantes” en función de su sector y criticidad. Esta ampliación incluye más sectores, como las aguas residuales, las cadenas de suministro sanitario, los servicios postales y de mensajería, el sector aeroespacial, la administración pública y las infraestructuras digitales.
- Cadena de suministro y proveedores de servicios: las organizaciones que participan en la cadena de suministro y las que prestan servicios de apoyo críticos están ahora explícitamente cubiertas, lo que subraya la importancia de asegurar las redes interconectadas.
Normas de Ciberseguridad Mejoradas
- Medidas obligatorias: el artículo 21 de la directiva describe las medidas de ciberseguridad obligatorias, incluidas la ciberhigiene básica, la gestión de vulnerabilidades, la seguridad de la cadena de suministro, el cifrado, la gestión de activos, el control de acceso y la seguridad de confianza cero.
- Gestión y notificación de incidentes: la directiva impone requisitos más rigurosos para la notificación de incidentes, garantizando respuestas oportunas y coherentes a las ciberamenazas en toda la UE.
Mayor responsabilidad y sanciones
- Responsabilidad de la alta dirección: la alta dirección puede ser considerada personalmente responsable del incumplimiento, lo que subraya la importancia de la participación de los ejecutivos en la gobernanza de la ciberseguridad.
- Multas y sanciones: las organizaciones pueden enfrentarse a multas significativas, de hasta 10 millones de euros o el 2% de la facturación global, por incumplir la directiva.
Los siguientes 18 sectores están cubiertos por la directiva NIS 2:
La siguiente tabla ilustra el aumento de sectores cubiertos por la Directiva NIS 2 en comparación con la primera directiva NIS:
Impacto en el cumplimiento de la ciberseguridad
La directiva NIS 2 afecta significativamente a la forma en que las organizaciones abordan el cumplimiento de la ciberseguridad. Las empresas deben adoptar una postura proactiva, integrando procesos completos de gestión de riesgos y garantizando el cumplimiento de las estrictas normas establecidas en la directiva. El énfasis en las medidas obligatorias y la posibilidad de sanciones severas exigen una revisión exhaustiva y la mejora de las prácticas de ciberseguridad existentes.
Las organizaciones tendrán que asignar recursos suficientes para cumplir estos requisitos. Las estimaciones sugieren que las empresas ya cubiertas por la directiva NIS original podrían necesitar aumentar sus presupuestos de ciberseguridad hasta en un 12%, mientras que las de nueva cobertura podrían ver incrementados sus presupuestos hasta en un 22%, según John Noble, ex Director del Centro Nacional de Ciberseguridad que habló en Sophos Spotlight: NIS2 Directive and Understanding Cybersecurity Compliance.
Prepararse para el cumplimiento de la directiva NIS 2
Para garantizar el cumplimiento de la directiva NIS 2, las organizaciones deben dar los siguientes pasos:
Evaluar la aplicabilidad:
Determina si tu organización entra en las categorías de entidades esenciales o importantes. Esto implica evaluar tu sector, la criticidad de tus servicios y tu huella operativa dentro de la UE.
Comprender la jurisdicción:
Identifica qué estados miembros de la UE tienen jurisdicción sobre tus operaciones a efectos del NIS 2. Esto es crucial para comprender los requisitos nacionales específicos y las obligaciones de información.
Implementar la gestión de riesgos de ciberseguridad:
Realiza un análisis de riesgos exhaustivo para identificar posibles amenazas y vulnerabilidades de ciberseguridad.
Aplica las medidas obligatorias descritas en el Artículo 21, comparándolas con un marco de seguridad adecuado, como ISO 27001 o el Marco de Ciberseguridad del NIST.
Reforzar la seguridad de la cadena de suministro:
Céntrate en mitigar los riesgos dentro de tu cadena de suministro, especialmente en lo que respecta a los proveedores de software y servicios. Esto incluye asegurarte de que los proveedores externos cumplen las normas NIS 2.
Desarrollar un Plan de Respuesta a Incidentes:
Formaliza un plan de respuesta a incidentes que incluya protocolos claros para informar de ciberincidentes a las autoridades nacionales pertinentes. Asegúrate de que los incidentes significativos se comunican en el plazo de 24 horas especificado por la directiva.
Implicar a la alta dirección:
Asegúrate de que la alta dirección apruebe formalmente la estrategia de cumplimiento. La participación de la alta dirección es fundamental para demostrar el compromiso con la ciberseguridad y garantizar que se asignan los recursos necesarios.
La directiva NIS2 representa un importante paso adelante en la mejora de la resistencia a la ciberseguridad de las organizaciones de toda Europa. Si comprenden las actualizaciones clave y adoptan medidas proactivas para garantizar su cumplimiento, las empresas podrán protegerse mejor contra la creciente amenaza de los ciberataques.
A medida que se acerca la fecha límite de octubre, es imperativo que la alta dirección y los profesionales de la ciberseguridad den prioridad al cumplimiento del NIS 2, aprovechando recursos como el libro blanco de Sophos para guiar sus esfuerzos.