Las empresas afectadas por la NIS2 (Seguridad de la Información de las Redes y Sistemas de Información, por sus siglas en inglés) han tenido de plazo hasta hoy para adoptar y dar publicidad a las medidas necesarias para responder a las exigencias de ciberseguridad que marca la nueva directiva.
La NIS2 es una revisión de la anterior regulación al respecto, estableciendo un marco más exigente para proteger los servicios esenciales y las infraestructuras digitales ante los riesgos cibernéticos, elevando así los estándares de ciberseguridad en toda la región.
¿Te afecta la NIS2?
Lo primero que debemos saber es qué organizaciones se ven afectadas por la NIS2. Hay que destacar que su alcance es mayor que el de la directiva anterior, con el fin de cubrir un espectro más amplio de sectores.
Las condiciones para que la nueva normativa afecte a una empresa dependen de su ubicación, su tamaño y el sector en el que opera.
En primer lugar, sólo atañe a organizaciones que ofrecen servicios o desarrollan actividades en cualquier estado miembro de la Unión Europea. Por tanto, si tu empresa opera en España o en otros países de la UE, tienes que adaptarte.
El alcance de la NIS2 se limita a las organizaciones medianas y grandes, ya sean públicas o privadas, de acuerdo con los criterios de clasificación de la UE. Según ésta, se entiende que “una mediana empresa ocupa a menos de 250 empleados, tiene un volumen de negocios que no excede los 50 millones de euros y un balance general anual que no excede los 43 millones de euros”.
Si tenemos en cuenta que el 99,7% de las empresas españolas microempresas y pequeñas compañías con menos de 50 trabajadores, según Cifras PyME, lo cierto es que es la NIS2 apenas impacta en algo más de un millar de medianas empresas y grandes corporaciones en nuestro país.
No obstante, hemos de tener en cuenta que “la NIS2 contempla excepciones para pequeñas empresas y microempresas que cumplan con criterios específicos que pongan de manifiesto su papel clave para la sociedad, la economía o para determinados sectores o tipos de servicios queden incluidas dentro de su ámbito de aplicación”, como especifica el Instituto Nacional de Ciberseguridad (Incibe).
De este modo, también afecta a las pequeñas empresas encuadradas en los denominados sectores críticos y de alta criticidad que veremos a continuación, pero también si prestan determinados servicios, si son las únicas proveedoras de un servicio esencial, si una perturbación de su servicio puede tener graves repercusiones para la seguridad nacional o puede producir riesgos sistémicos, etc.
Como adelantábamos, la nueva normativa habla de 11 sectores de alta criticidad y otros 7 sectores críticos, considerados como tales por su impacto en la sociedad y la economía.
Entre los sectores de alta criticidad están energía, transporte, banca, infraestructuras de mercados financieros, salud, agua potable, aguas residuales, infraestructura digital, gestión de servicios TIC y administración pública, etc.
Y los sectores críticos, un paso por debajo de los anteriores, pero en los que un ciberataque también puede tener un impacto significativo, tenemos servicios postales y de mensajería, gestión de residuos, fabricación y distribución de sustancias químicas, producción y distribución de alimentos, fabricación de otros bienes, investigación y, finalmente, proveedores de servicios digitales, como servicios de DNS, plataformas de ecommerce, motores de búsqueda, servicios en la nube, etc.
Los estados miembros tienen hasta el 17 de abril de 2025 para la elaboración de la lista de entidades esenciales e importantes.
Una norma más exigente
La NIS2 impone más obligaciones a las empresas en cuanto a gestión de riesgos, detección y respuesta a incidentes, y colaboración con las autoridades competentes.
De este modo, las organizaciones afectadas deben contar con un sistema de gestión de riesgos que incluya la identificación, evaluación y tratamiento de las amenazas cibernéticas.
También se fijan requisitos más detallados para la detección, notificación y respuesta a incidentes de seguridad. Además, las empresas han de desarrollar planes de continuidad de negocio para garantizar el mantenimiento de sus servicios en caso de sufrir un incidente cibernético. Igualmente, están obligadas a evaluar los riesgos de su cadena de suministros.
Por otra parte, la NIS2 establece la obligatoriedad de la formación continua de la plantilla en ciberseguridad. Y dicha formación se ha de extender a toda la organización, incluyendo a los directivos
Obligaciones de notificar en caso de incidente
La NIS2 obliga a notificar en caso de sufrir un “incidente significativo” de ciberseguridad. En el texto se indica que se trata de un incidente que “haya causado o sea capaz de causar una interrupción grave del funcionamiento de los servicios o una pérdida financiera para la entidad en cuestión”, o que “haya afectado o sea capaz de afectar a otras personas físicas o jurídicas causándoles un daño material o inmaterial considerable”.
Si sucede, las empresas tienen que notificarlo al CSIRT (equipo de respuesta ante incidentes) o a la autoridad competente, pendiente de definir en la transposición de la ley en cada estado miembro.
En esta primera fase, han de emitir una alerta temprana “sin demora indebida y, en cualquier caso, dentro de las 24 horas siguientes a tener conocimiento del incidente significativo”. En ella hay que indicar si se sospecha que el incidente está causado por actos ilícitos o maliciosos o si podría tener impacto transfronterizo.
Además, la empresa debe emitir una nueva notificación del incidente significativo en el plazo de 72 horas, actualizando la información de la alerta temprana e indicando una evaluación inicial del incidente, incluyendo su gravedad e impacto.
El CSIRT o la autoridad competente también puede reclamar un informe intermedio sobre las actualizaciones de estado.
El informe final debe emitirse durante el mes siguiente a la notificación del incidente, incluyendo descripción detallada del mismo, gravedad e impacto, tipo de amenaza o causa raíz desencadenante, medidas de mitigación aplicadas y en curso, etc.
Si el incidente todavía no ha sido resuelto al presentar dicho el informe final, las empresas tendrán que facilitar un informe de situación en ese momento y un informe final en el plazo de un mes a partir de la gestión del incidente.
Importantes sanciones
La NIS2 indica que las organizaciones pueden ser sometidas a supervisiones para comprobar que cumplen sus obligaciones. Y si no lo hacen, se exponen a importantes sanciones, que van desde el apercibimiento o la adopción de instrucciones específicas hasta la suspensión de la actividad, prohibiciones temporales o la imposición de cuantiosas multas administrativas, como contábamos en EMPRENDEDORES.
Estas sanciones varían según el tipo de compañía. En el caso de las entidades esenciales, las sanciones pueden llegar hasta los 10 millones de euros o un máximo del 2% del volumen de negocio anual total a nivel mundial del ejercicio financiero anterior, imponiendo aquella de mayor cuantía. Y para entidades importantes, se fija un máximo de 7 millones de euros o el 1,4% del volumen de negocios total anual a nivel mundial.
Los estados miembros disponen hasta el 17 de enero de 2025 para comunicar el régimen sancionador aplicable.
