Qué implica la NIS2 a las empresas españolas

La nueva legislación incluye detalles concretos sobre la prevención, la gestión de crisis, la respuesta ante incidentes o la necesidad de usar cifrado

Publicado el 13 Jun 2023

Robotic cyborg pressing. robot is sitting and reading a book. artificial intelligence. Banner. Place for text. Generative AI

Mientras la Inteligencia Artificial (IA) colapsa el mapa tecnológico actual, Europa está decidida a jugar la baza de un desarrollo tecnológico que vela por los derechos de los ciudadanos. La transformación digital y la interconexión de la sociedad, así como de las empresas conlleva grandes beneficios, pero ha causado una expansión del panorama de las ciberamenazas y, por consiguiente, la aparición de nuevos desafíos que requieren de medidas adaptadas al nuevo contexto.

Unos desafíos que el Viejo Continente quiere paliar con la Directiva (UE) 2022/2555, (llamada NIS2), que contempla unas medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión Europea (UE). Pero, ¿qué supondrá esta nueva legislación para las empresas españolas?

Desde Datos101, empresa española de soluciones de seguridad de datos para compañías, destacan que “la NIS2 incluirá a todas las medianas y grandes empresas de los sectores críticos, pero también infraestructuras comunes como centros de datos o laboratorios de investigación. Al igual que, como novedad, también incluye, a la Administración Pública y ámbitos como pueden ser la gestión de residuos, las industrias química, farmacéutica y alimentaria, la fabricación de maquinaria pesada, los servicios postales, vehículos…”. Para Santiago Arellano, Cyber Account Manager de Datos101, “la clave de NIS2 es que incluye detalles muy concretos en torno a la prevención, a la gestión de crisis, a la respuesta ante incidentes, las pruebas ‘cyber’ o la necesidad de usar cifrado”.

Novedades en el ámbito sancionador

Más allá de las ampliaciones en el alcance y mejora de la coordinación y la cooperación, la NIS2 muestra novedades relacionadas con el régimen sancionador. Esta nueva directiva habla de sanciones proporcionales y disuasorias. Sin embargo, será necesario esperar a la transposición de la ley para conocer de qué manera afectará. Cabe destacar que la NIS1 recogía ‘multas’ de entre 500.000 y 1.000.000 euros para las infracciones muy graves.

Desde Datos101, resaltan que “el efecto económico más inmediato de la NIS 2 no vendrá por las sanciones, sino por la necesidad de aplicar los nuevos requerimientos de ciberseguridad. Estos requerimientos se enfocarán en la gestión de riesgos y las empresas pasarán a ser responsables de la actuación de sus proveedores y suministradores”.

Cómo actuar en caso de ciberataque

Los ciberataques siguen multiplicándose y alcanzando cada día cifras históricas. Los ataques ransomware en 2022 han crecido más de un 50% en comparación con las cifras registradas en 2021, mientras que estos expertos prevén que 2023 venga cargado de actividades maliciosas. Un escenario este que deja a las empresas en una situación más vulnerable.

La directiva NIS2 señala que todos los incidentes con un nivel de impacto ‘crítico’, ‘muy alto’ o ‘alto’ deberán ser notificados a la autoridad competente respectiva, a través del CSIRT de referencia. Según la norma, los operadores de servicios esenciales deberán realizar una primera notificación tan pronto como dispongan de información que lo hagan posible. Asimismo, se deberán hacer notificaciones intermedias y una notificación final del incidente tras su resolución.

Sobre las claves en materia de ciberseguridad, Santiago Arellano explica que “son la proactividad y la resiliencia, capacidades que se retroalimentan. La mejor manera de ser proactivos es realizando auditorías periódicas, evaluando y gestionando las vulnerabilidades de la infraestructura tecnológica, diseñando y cumpliendo un plan de seguridad, concienciando a los usuarios, protegiendo con soluciones de seguridad la red, la nube, los puestos de trabajo, los servidores…”. En cuanto a ser resilientes, Datos101 apunta que “las empresas deben contar con medidas que respalden sus datos como un backup, como un plan de disaster recovery, con un necesario plan de respuesta a incidentes de seguridad y con un recomendable ciberseguro, que limite al máximo el impacto de un ciberataque”.

¿Qué te ha parecido este artículo?

Tu opinión es importante para nosotros.

T
Redacción TICPymes

Artículos relacionados

Artículo 1 de 2