Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Directiva NIS2 (II): obligaciones de Ciberseguridad y su impacto en las empresas europeas
La Directiva NIS2 amplía significativamente el ámbito de aplicación de las obligaciones cibernéticas de empresas y organizaciones, abarcando una variedad de industrias y sectores dentro de la Unión Europea, independientemente de su tamaño (micro, pequeñas, medianas o grandes) o naturaleza pública o privada. Por ello, la directiva señala la Recomendación 2003/361/CE, para categorizar el ámbito de aplicación.
Es importante considerar que se incluyen ciertas organizaciones más pequeñas debido a que la Directiva aborda tanto los sectores de alta criticidad como otros sectores críticos, donde factores como la seguridad nacional o la estabilidad económica son relevantes, independientemente de su tamaño. Además, garantiza que no solo las grandes organizaciones, sino también las empresas que desempeñan un papel esencial en la sociedad, deberán cumplir con estrictos controles de ciberseguridad.
Quizás te preguntes: ¿de qué manera me afecta y como está sujeta mi organización a la normativa?
Impacto de la Directiva NIS2 en las empresas según su tamaño y sector
Esto dependerá de las distinciones establecidas en el Anexo I y II según su criticidad, sector, tipología de servicio, tamaño y otras variables que pueden incidir por que en principio nos movemos en entidades esenciales o entidades importantes. Es preciso señalar que el rigor o exigencia de los requisitos al mismo tiempo concede excepciones parciales a las pymes a las que no desempeñan u papel critico en la seguridad nacional o de la Unión Europea.
Las empresas más grandes, según su clasificación, están sujetas a auditorías más frecuentes, plazos más estrictos para la notificación de ciberincidentes y un régimen de responsabilidad civil profesional directa para la alta dirección en situaciones de Ciberseguridad.
■ Es importante destacar que, aunque las pymes que forman parte de la infraestructura crítica o de las cadenas de suministro pueden estar generalmente obligadas a cumplir con la directiva en función de su sector y nivel de riesgo. Las micro y pequeñas empresas suelen estar exentas de esta obligación, salvo en casos donde provean servicios o infraestructura crítica.
Las medidas de control de ciberseguridad están orientada a un enfoque basado en riesgos, que demanda que las organizaciones apliquen controles técnicos, organizativos y de gobernanza, incluyen:
Todas las medidas han se ser proporcionales, en función del riesgo, tamaño, coste, impacto y gravedad de los incidentes. Además de tener en cuenta aspectos técnicos e incluso cuando proceda y según aplique las normas europeas e internacionales.
Medidas proporcionales y gestión de incidentes significativos
Hay que tener en cuenta que las entidades esenciales se exponen a un mayor escrutinio regulatorio, incluyendo las auditorias in situ, evaluaciones detalladas de riesgos y acciones directas para hacer cumplir la directiva. Al mismo tiempo las entidades importantes, deben cumplir las mismas medidas de ciberseguridad, pero con obligaciones de supervisión e información menos frecuentes.
Por otro lado, la gestión de incidentes en cuanto a los incidentes significativos se considera así porque primero ha causado o puede causar graves perturbaciones operativas de los servicios o pérdidas económicas y segundo ha afectado o puede afectar a otras personas físicas o jurídicas al causar perjuicios materiales o inmateriales.
Por lo cual las obligaciones de notificación son:
Hay que señalar que la notificación en 24 horas obliga a mejorar en las organizaciones sus capacidades de monitoreo y respuesta, lo que pone en relieve una mayor inversión en centros se operaciones de Ciberseguridad (SOC) y en inteligencia de amenazas.
■ Las organizaciones más pequeñas pueden tener dificultades para cumplir este requisito, lo que puede generar riesgo de cumplimiento e incurrir en sanciones.
Impacto de NIS2 en las organizaciones y su gestión de Ciberseguridad
Las severas sanciones por incumplimiento, incluidas multas de hasta 10 millones de euros o el 2% del volumen de negocio global para entidades esenciales y de 7 millones de euros o el 1,4% del volumen de negocios para las entidades importantes.
Al mismo tiempo, la C-suite, los miembros del consejo de administración pueden ser considerados como personalmente responsable responsabilidad civil profesional de no aplicar medidas de ciberseguridad con la posibilidad de ser inhabilitados temporalmente del ejercicio de funciones directivas.
Lo que a su vez hace alinear la ciberseguridad con el gobierno corporativo, obligando a los directivos a priorizar las inversiones en seguridad y la gestión de riesgos.
Por ello, cumplir con NIS2 demanda de un cambio estratégico en la gestión de las inversiones de Ciberseguridad, que impulsa mayores inversiones en gestión de ciberriesgos, tecnologías de seguridad avanzada, evaluaciones de terceras y cuartas partes, y equipos de cumplimiento además de las capacidades del talento humano del departamento de Ciberseguridad.
A primera vista, es más factible que las grandes empresas puedan absorber estos costes con mayor facilidad. Sin embargo, las empresas más pequeñas enfrentan tensiones e incertidumbre financiera debido a la necesidad de personal especializado, infraestructura de Ciberseguridad y servicios jurídicos.
No obstante, los beneficios a largo plazo incluyen una mayor ciberresiliencia, mitigación de riesgos de pérdidas financieras reducción derivadas producto de las infracciones y la mejora de la confianza de las partes interesadas.
■ Con la Directiva NIS2 se refuerza las capacidades de ciberresiliencia y se refuerza la seguridad de la cadena de suministro al tiempo que se reducen la exposición a las ciberamenazas procedentes de terceros países. La directiva influye en las políticas de ciberseguridad más allá de las fronteras.
MÁS DE ESTA SERIE
