En un mundo cada vez más digitalizado, los ciberataques se han consolidado como una amenaza incesante y en alza. Ante este desafío, la Unión Europea ha tomado una medida crucial mediante la implementación de la Directiva de Seguridad de Red e Información 2 (NIS2), que actualiza y amplía la normativa de 2016. Esta nueva regulación, actualmente en proceso de transposición en España a través de la Ley de Coordinación y Gobernanza de la Ciberseguridad, está diseñada para transformar la cultura de ciberseguridad corporativa, impactando a más de 33,000 empresas en sectores críticos y esenciales.
La NIS2 establece un marco jurídico unificado para los Estados miembros de la UE, destinado a proteger sistemas de redes e información y a sus usuarios frente a ciberamenazas. Esta normativa introduce obligaciones legales específicas para sectores esenciales y servicios digitales, acentuando la importancia de la seguridad y la resiliencia en un contexto transfronterizo. Según Jacinto Cavestany, CEO de Evolutio, empresa especializada en servicios cloud y ciberseguridad, "la NIS2 llega para fortalecer las defensas corporativas y garantizar una respuesta coordinada frente a estas amenazas".
Evolutio ha identificado cinco pilares fundamentales de la NIS2 que transformarán las organizaciones:
Identificación de entidades esenciales e importantes: La directiva focaliza en sectores de alta criticidad, incluyendo energía, transporte, banca, sanidad, y la administración pública, entre otros. Para abril de 2025, los Estados miembros deben elaborar un listado de estas entidades, revisable cada dos años.
Planificación con medidas adecuadas y proporcionales: Las empresas deberán implementar estrategias de gestión de riesgos adaptadas a su contexto, incluyendo políticas de seguridad, análisis de amenazas, y planes de continuidad.
Gestión de riesgos en la cadena de suministro: Dado el incremento de ciberataques dirigidos a la cadena de suministro, la NIS2 exige a las entidades asegurar la seguridad de sus proveedores mediante evaluaciones estrictas.
Responsabilidad en la alta dirección: Los ejecutivos ahora deberán supervisar y aprobar las medidas de ciberseguridad, recibiendo también formación continua en gestión de riesgos.
- Notificación obligatoria de incidentes significativos: Las empresas deberán informar a las autoridades sobre cualquier incidente importante en tiempos específicos, pudiendo enfrentar sanciones más severas en caso de incumplimiento.
La entrada en vigor de la NIS2 ya está impulsando el incremento del gasto en ciberseguridad dentro de la UE. La Agencia de la Unión Europea para la Ciberseguridad (ENISA) indica que la seguridad de la información representa el 9% de las inversiones en TI en 2023, alcanzando los 1,4 millones de euros.
“La NIS2 representa un avance significativo en la ambición de la UE por fortalecer la ciberseguridad. En Evolutio, integramos la seguridad en las estrategias tecnológicas de nuestros clientes desde el primer momento, ayudándoles a prevenir amenazas y cumplir con la normativa”, concluye Cavestany.
En un contexto donde los ciberataques son cada vez más frecuentes y sofisticados, la NIS2 se erige como una herramienta esencial para proteger a las empresas esenciales y asegurar la resiliencia de la economía digital europea. Las organizaciones que actúen con proactividad y enfoque estratégico no solo cumplirán con la normativa, sino que estarán mejor preparadas para enfrentar los desafíos futuros. Evolutio, con más de 30 años de experiencia en servicios cloud y ciberseguridad, sigue comprometida con la innovación y la transformación digital garantizando la seguridad en un mundo cada vez más interconectado.
