En enero de 2023, la Unión Europea dio un paso firme hacia un futuro más seguro en el ámbito digital con la entrada en vigor de la Directiva NIS2, un marco legal que busca unificar y fortalecer la ciberseguridad entre sus estados miembros. Con un plazo límite fijado para el 17 de octubre de 2024, los países de la UE deben transponer esta normativa a su legislación nacional, obligando a las empresas y sectores afectados a actualizar sus sistemas en un plazo determinado.
La Directiva NIS2 se erige como una actualización de su predecesora, la NIS, con el objetivo de armonizar las medidas de seguridad en sectores considerados esenciales e importantes, tales como energía, transporte, banca, salud, y administración pública, entre otros. Uno de los enfoques centrales de esta directiva es reforzar la seguridad de la cadena de suministro, así como la de proveedores de servicios externos a la UE.
Para lograr una aplicación efectiva, la NIS2 clasifica a las organizaciones en dos grupos: entidades esenciales y entidades importantes. Las primeras pertenecen a sectores de alta criticidad, tales como la salud y las infraestructuras digitales, mientras que las segundas abarcan servicios como la gestión de residuos o la industria química y alimentaria. Cada clasificación conlleva diferentes niveles de obligaciones en materia de ciberseguridad.
Las organizaciones clasificadas bajo la NIS2 deben implementar una serie de medidas para gestionar los riesgos en sus sistemas de información. Estas medidas incluyen políticas de control de accesos, protección contra código malicioso y la gestión de incidentes de seguridad, lo cual implica un cambio significativo en la manera en que las empresas deben abordar la seguridad digital.
Una de las demandas más críticas de la NIS2 es la notificación obligatoria de incidentes de ciberseguridad. Las organizaciones afectadas deben informar a las autoridades competentes en tres fases: una notificación inicial dentro de 24 horas tras la detección, una actualización intermedia a las 72 horas, y un informe final en el plazo de un mes. El incumplimiento de estas obligaciones puede resultar en sanciones que alcanzan hasta 10 millones de euros para entidades esenciales.
Para apoyar a las organizaciones en el cumplimiento de esta directiva, el Centro Criptológico Nacional (CCN) ha habilitado un servicio de consultas y ofrece recursos como la guía CCN-STIC 892, que proporciona orientaciones detalladas para adaptarse a la NIS2 alineándose con el Esquema Nacional de Seguridad (ENS) de España.
La implementación de la Directiva NIS2 marca un avance decisivo en la protección de las infraestructuras críticas europeas en un mundo cada vez más digitalizado. Las organizaciones deben actuar de manera proactiva y cumplir con los nuevos estándares para no solo evitar sanciones, sino también para asegurar la estabilidad y la resiliencia de sus operaciones en el dinámico paisaje digital de Europa. La cooperación entre entidades será clave para garantizar un entorno seguro y confiable en el continente.
