La nueva Directiva NIS2 de la Unión Europea, formalmente conocida como Directiva (UE) 2022/2555, marca un importante avance en la estrategia de ciberseguridad del bloque, ampliando su ámbito de aplicación para incluir a un mayor número de sectores y empresas, con un enfoque particular en las pequeñas y medianas empresas (pymes). Este marco normativo tiene como objetivo fortalecer la resiliencia de las infraestructuras críticas y asegurar un alto nivel de seguridad en las redes y sistemas de información.
La NIS2 afecta tanto a entidades públicas como privadas que operan en sectores considerados esenciales o importantes. Entre estos sectores se encuentran la energía, el transporte, la banca, la salud, el suministro de agua potable, la infraestructura digital, los servicios postales, la gestión de residuos, y la fabricación de productos críticos, entre otros. Las pymes incluidas en estos sectores o que forman parte de sus cadenas de suministro también deben cumplir con las disposiciones de esta directiva.
Para las pymes, la NIS2 establece una serie de obligaciones destinadas a gestionar los riesgos de ciberseguridad. Estas empresas deben desarrollar políticas de seguridad de la información, implementar programas de formación y concienciación para el personal, establecer procedimientos de gestión de incidentes y planes de continuidad del negocio, y garantizar la seguridad en la cadena de suministro. Además, se requiere que adopten medidas de protección como el cifrado de datos y la autenticación multifactor, notificando cualquier incidente de seguridad significativo a las autoridades competentes en un plazo de 24 a 72 horas, según la gravedad.
No obstante, muchas pymes enfrentan desafíos para cumplir con la NIS2. Según un informe de 2023 de Hiscox sobre ciberpreparación en España, el 43% de las pymes no cuenta con un plan formal de respuesta ante incidentes. Asimismo, un estudio del INCIBE indica que el 70% de las pymes españolas no dispone de un presupuesto específico para ciberseguridad. Estos datos evidencian una brecha preocupante entre las exigencias de la directiva y la realidad empresarial, especialmente en términos de recursos económicos y humanos.
Para abordar estos desafíos, se recomienda a las pymes realizar auditorías de ciberseguridad para identificar vulnerabilidades, desarrollar políticas de seguridad adecuadas, formar al personal en prácticas de ciberseguridad, y establecer protocolos de gestión de incidentes. También es aconsejable gestionar la seguridad en la cadena de suministro y considerar la adopción de estándares reconocidos como la ISO 27001 o el Esquema Nacional de Seguridad (ENS).
En conclusión, la NIS2 presenta nuevas obligaciones en ciberseguridad que afectan a un amplio espectro de empresas, incluyendo pymes. A pesar de los posibles desafíos en términos de recursos, su implementación es crucial para proteger la integridad de los sistemas de información y asegurar la continuidad del negocio en un ambiente crecientemente digitalizado y vulnerable a amenazas cibernéticas.
Más información y referencias en Noticias Cloud.
