Pregunta a un experto sobre… la Directiva sobre seguridad de las redes y la información 2, o NIS2

Todo lo que necesitas saber sobre la NIS2

Octubre es un mes de gran importancia para los proveedores de seguridad. No solo es el mes de la ciberseguridad, sino que también marca la fecha de entrada en vigor de la Directiva sobre seguridad de las redes y la información 2, o «NIS2».

Sigue leyendo para descubrir todo lo que necesitas saber sobre la NIS2, según nos lo explica nuestro director global de seguridad operativa,Rob Nidschelm.

¿Qué significa NIS2?

La NIS2 es una actualización de los marcos normativos. La UE la está introduciendo para reforzar la ciberseguridad en todo el sector y garantizar la resiliencia de las infraestructuras críticas. La Directiva NIS (2016) constituye la base de esta nueva actualización, cuyo objetivo original era mejorar la ciberseguridad de los servicios esenciales. Se incluyen los sectores de la energía, la sanidad, el transporte y los servicios digitales.

Sin embargo, la NIS2 se centra en mejorar la capacidad de las organizaciones de estos sectores para responder de forma eficaz a las amenazas cibernéticas, lo que significa que podrán prevenir, detectar, responder y recuperarse de incidentes que podrían tener consecuencias catastróficas. Las empresas fomentarán un entorno digital más seguro y resiliente en toda la UE.

La Directiva NIS2 fue aprobada por el Parlamento Europeo en noviembre de 2022, pero entrará en vigor en octubre de 2024. Ese es el plazo que tienen los Estados miembros de la UE para incorporar los requisitos de la Directiva NIS2 a sus respectivas legislaciones nacionales, y las organizaciones de la UE también deberán ajustarse a estas nuevas normas.

¿En qué aspectos clave va a cambiar la NIS2 el panorama de la ciberseguridad?

Hay varias formas en las que la NIS2 va a cambiar el panorama de nuestro sector. Veamos a continuación cuáles son las más importantes.

Dado que el nuevo marco amplía su ámbito de aplicación normativo, cabe esperar que abarque más sectores y servicios esenciales. La lista incluirá ahora las cadenas de suministro alimentario, la gestión de residuos y los fabricantes de productos críticos. Esta actualización es un ejemplo perfecto del apoyo que aportará la NIS2, al garantizar que un número aún mayor de sectores esté protegido frente a las ciberamenazas.

Gracias a las nuevas prácticas de normalización, la notificación de incidentes en toda la UE está a punto de volverse mucho más clara. Las organizaciones deben notificar a las autoridades competentes cualquier incidente significativo de ciberseguridad en un plazo de 24 horas desde su detección. De este modo, se reducirán los tiempos de respuesta, la ayuda llegará rápidamente y se garantizará la seguridad de toda la UE.

La rendición de cuentas es un elemento fundamental para garantizar la seguridad de una organización. Los equipos de alta dirección serán ahora responsables de garantizar el cumplimiento de la NIS2 y deberán realizar auditorías y evaluaciones periódicas de su ciberseguridad. No es una responsabilidad baladí, pero es necesaria para la salud general de una empresa.

Otros cambios importantes incluyen la investigación de la seguridad de terceros y proveedores, así como el refuerzo de la gestión de riesgos.

¿Qué consecuencias tendría que no se aplicara la NIS2?

El incumplimiento de la Directiva NIS2 puede acarrear consecuencias importantes tanto para las organizaciones como para los sectores a los que se aplica la directiva:

• Mayor riesgo de ciberataques
• Sanciones por incumplimiento
• Inestabilidad operativa
• Daño a la reputación
• Vulnerabilidades de la cadena de suministro
• Pérdida de ventaja competitiva

Sin las medidas obligatorias de ciberseguridad de la NIS2, las organizaciones son más vulnerables a los ciberataques, lo que podría provocar graves interrupciones operativas, pérdidas económicas o la filtración de datos. Si ocurriera algo así, una organización podría enfrentarse a cuantiosas multas y sanciones. Esto puede traducirse fácilmente en la pérdida de la cadena de suministro y de proveedores, además de dañar su reputación pública.  

¿Cómo deberían prepararse las empresas?

Hay varias medidas proactivas que su organización puede adoptar para prepararse para la NIS2.

Una evaluación exhaustiva de sus prácticas actuales de ciberseguridad permitirá identificar las deficiencias en la gestión de riesgos, la respuesta ante incidentes y las capacidades de resiliencia. Esto sienta las bases para evaluar y supervisar las prácticas de ciberseguridad de los proveedores externos y prestadores de servicios, así como para desarrollar sus protocolos de notificación de incidentes. Es importante establecer procedimientos claros de notificación de incidentes, ya que garantizan una notificación inmediata a las autoridades y una respuesta eficaz ante los incidentes.

Realiza pruebas periódicas, actualiza los sistemas según sea necesario y evalúa tu nivel de preparación mediante simulacros. Estar preparado para un incidente de ciberseguridad es la mitad del camino hacia la recuperación.

Problemas que el NIS2 ayudará a resolver

La ciberseguridad no es lo primero en lo que se piensa al poner en marcha un negocio, pero a menudo es la causa de problemas graves. Al cumplir con el Reglamento NIS2, te aseguras de que trabajas con un nivel mínimo de seguridad en los servicios esenciales y de que dichos servicios se ajustan a las normas del resto de la UE. Esto permite que diversos sectores se mantengan al día y conectados. Las empresas están en constante comunicación entre sí, informan a las autoridades sobre las amenazas y crean una red de apoyo en todo el continente. Formarás parte de un equipo de organizaciones ágil y eficaz.

¿Cómo puede ayudarte Getronics?

Getronics cuenta con una amplia gama de servicios que te ayudarán a cumplir, e incluso superar, las directrices establecidas en la NIS2. Podemos asesorarte sobre el estado actual de tu ciberseguridad, identificar puntos débiles y sugerir formas de reforzarlos. Getronics te facilitará la elaboración de estrategias, ofreciéndote no solo soluciones que se ajusten a la NIS2, sino también servicios de inteligencia cibernética (CTI) que recopilan, analizan y aplican información útil.

Las amenazas emergentes se detectan antes de que se conviertan en un problema, lo que te da más tiempo para prepararte.

Getronics cuenta con un Centro de Operaciones de Seguridad (SOC) específico, que ofrece servicios continuos de supervisión, detección y respuesta. Ayudamos a mitigar los incidentes cibernéticos.

Lo más destacado de nuestra oferta es que siempre nos mantenemos al día con el resto de normas a nivel mundial. Echa un vistazo a nuestro artículo «Pregunta a un experto» sobre DORA y verás cómo podemos integrar ambas normativas, ayudándote a cumplir plenamente con todas y cada una de ellas.

Ponte en contacto con nuestros expertos para obtener más información sobre cómo cumplir con la normativa NIS2 y cómo Getronics puede ayudarle a superarla.