Distribuidores

Directiva NIS2: Cambios clave, obligaciones y sanciones

La ciberseguridad se ha convertido en una prioridad en un mundo cada vez más digitalizado. La Directiva NIS (Network and Information Systems), adoptada en 2016, fue un primer paso importante, pero la rápida evolución de las amenazas cibernéticas hicieron evidente la necesidad de una actualización. Por ello, en enero de 2023, entró en vigor la Directiva NIS2, ampliando su alcance y estableciendo requisitos más estrictos para proteger a las organizaciones de los nuevos y crecientes riesgos cibernéticos.

En este articulo analizaremos los puntos claves de la directiva NIS2, respecto a principales cambios, sectores afectados, obligaciones y sanciones.

¿Qué es la Directiva NIS2?

NIS2 es una actualización de la Directiva sobre seguridad de las redes y los sistemas informáticos (NIS) e implica los siguientes cambios:

  1. Ampliación del alcance: Los siete sectores cubiertos por la Directiva NIS original se complementan con nuevos sectores, asegurando que una mayor variedad de entidades estén sujetas a supervisión y medidas de ciberseguridad.
  2. Notificación de incidentes y el intercambio de información: Las entidades deben notificar incidentes importantes dentro de las primeras 24 horas, con un informe completo en los siguientes 30 días.
  3. Aplicación más estricta del cumplimiento: La directiva NIS2 establece sanciones específicas por incumplimiento, incluidas multas de hasta el 2 % de la facturación anual global.

¿Quién está obligado a cumplir?

Según la Directiva NIS2, las organizaciones obligadas a cumplir con la normativa se clasifican en dos categorías: “entidades esenciales” y “entidades importantes”.

Clasificación de entidades según NIS2

image 3
image 3

Mientras que la NIS original se centraba en organizaciones medianas y grandes, la NIS2 amplía el ámbito de aplicación para incluir a organizaciones más pequeñas. Sin embargo, las microempresas y pequeñas empresas con menos de 50 empleados y menos de 10 millones de euros en ingresos anuales no están obligadas a cumplir con la NIS2.

¿Cómo afecta NIS2 a las empresas?

La Directiva NIS2 establece una serie de obligaciones que las organizaciones deben cumplir para asegurar un nivel adecuado de ciberseguridad.

Veamos las obligaciones principales:

Gobernanza de ciberseguridad

Las entidades deben establecer y mantener una estructura de gobernanza clara para gestionar los riesgos de ciberseguridad con 3 aspectos clave:

  • Designación de responsables de ciberseguridad: Nombrar a una persona o equipo encargado de supervisar el cumplimiento de las medidas de ciberseguridad.
  • Implicación de la alta dirección: Los directivos deben supervisar e implementar políticas de seguridad efectivas. Además, están obligados a recibir formación en ciberseguridad para comprender mejor los riesgos y desafíos actuales.
  • Desarrollo de políticas internas: Implementar políticas claras sobre gestión de riesgos, respuesta a incidentes y formación del personal.

Gestión de Riesgos

Las entidades afectadas deben implementar medidas técnicas y organizativas apropiadas para gestionar los riesgos relacionados con la ciberseguridad. Estas medidas incluyen:

  1. Evaluación de riesgos: Identificar y analizar amenazas cibernéticas específicas para su sector.
  2. Medidas de mitigación: Implementar medidas para mitigar los riesgos identificados, tales como:
  3. Gestión de accesos.
  4. Cifrado de datos sensibles.
  5. Segmentación de redes críticas.
  6. Uso de autenticación multifactorial.
  1. Planificación y respuesta a incidentes:

Diseñar e implementar planes de respuesta a incidentes.

Garantizar la continuidad operativa mediante sistemas de respaldo y recuperación.

Notificación de incidentes

Las entidades deben notificar cualquier incidente significativo a las autoridades competentes de manera oportuna.

image 4
image 4

Gestión de la cadena de suministro

Las entidades deben evaluar y gestionar los riesgos asociados con la cadena de suministro de tecnologías de la información y comunicación (TIC):

  • Evaluación de proveedores: Evaluar los riesgos asociados con los proveedores de TIC.
  • Contratos de seguridad: Incluir cláusulas de seguridad en los contratos con proveedores.

¿Cómo se supervisará el cumplimiento de NIS2?

Según lo establecido en el Artículo 32 de la normativa la supervisión de la Directiva NIS2 se realizará a través de evaluaciones preventivas (ex ante) y posteriores (ex post) para asegurar el cumplimiento. Esto incluye tanto una verificación regular de las medidas preventivas como una revisión detallada de las respuestas a los incidentes, garantizando así que las entidades cumplan con sus responsabilidades de ciberseguridad de manera continua y efectiva.

Multas y sanciones por incumplimiento

La Directiva NIS2 establece un marco específico de sanciones para garantizar que las organizaciones cumplan con sus obligaciones. Estas sanciones se dividen en multas económicas y medidas administrativas:

Tipo de sanciones

Tipo de sanciónEntidades esencialesEntidades importantes
Multa económicaHasta 10 millones de euros o el 2% de los ingresos globales.Hasta 7 millones de euros o el 1.4% de los ingresos globales.

Medidas administrativas

Además de las multas, las autoridades competentes pueden imponer las siguientes sanciones:

  • La suspensión parcial o total de operaciones.
  • Responsabilidad directa para los directivos incluyendo la inhabilitación para ocupar cargos similares en el futuro.
  • Obligación de implementar medidas correctivas inmediatas para rectificar vulnerabilidades.

Factores que determinan las sanciones

La gravedad y el tipo de sanción se determinan en base a:

  • El impacto del incumplimiento: Si afecta a servicios esenciales o pone en riesgo a terceros.
  • La reincidencia: Si la empresa ya había incumplido anteriormente.
  • La capacidad económica: Para evitar que la sanción sea desproporcionada.
  • La intención: Si el incumplimiento fue resultado de negligencia grave o una acción intencional.

La Directiva NIS2, en vigor desde 2023 como actualización de la NIS original de 2016, introduce cambios significativos, como la ampliación de organizaciones obligadas a cumplirla, nuevos mecanismos para la notificación de incidentes y el intercambio de información, así como la facultad para que los Estados Miembros impongan multas administrativas y sanciones penales por incumplimientos. Este marco normativo refuerza la seguridad de los servicios esenciales frente al creciente panorama de amenazas cibernéticas y destaca la necesidad de una preparación integral para prevenir y mitigar riesgos de manera eficaz.

Noticias
relacionadas

¿Qué es un ataque DDoS?

¿Qué es un ataque DDoS? Conoce las principales herramientas para la ciberseguridad con este ebook. DESCARGAR AQUÍ <a> href="https://sp.depositphotos.com/stock-photos/medicine-health.html">Computer hacker or Cyber attack concept background - sp.depositphotos.com</a¿Qué es un ataque DDoS?Ataque DoS Vs ataque DDoS¿Cómo funciona un ataque DDoS?Tipos de ataque DDoS.Protección frente a ataques DDoS. Tu empresa también está dentro del radar de peligro.Análisis…

¿Qué es un CRM y cómo puede ayudar a mejorar las ventas de tu empresa?

¿Qué es un CRM y cómo puede ayudar a mejorar las ventas de tu empresa? Conoce las principales herramientas para la ciberseguridad con este ebook. DESCARGAR AQUÍ ¿Qué es un CRM? Definición de CRM¿Para qué sirve un CRM?Beneficios de un CRMTipos de CRMDiferencias entre un CRM y un ERPEjemplos de CRM  Ninguna empresa existiría sin…

Problemas de ciberseguridad en empresas

Problemas de ciberseguridad en empresas Conoce las principales herramientas para la ciberseguridad con este ebook. DESCARGAR AQUÍ CONTENIDO DEL ARTÍCULO Problemas de ciberseguridad en empresas sin soluciones de ciberseguridad Uso de memorias extraíbles Uso inapropiado de dispositivos móviles en las empresas Descarga de archivos vía e-mail u otras fuentes Uso de las redes sociales en…

ransomhub y sus nuevas técnicas tdsskiller y lazagne en ataques de ransomware
ransomhub y sus nuevas técnicas tdsskiller y lazagne en ataques de ransomware

RansomHub y sus nuevas técnicas: TDSSKiller y LaZagne en ataques de ransomware

En el panorama actual de ciberamenazas, RansomHub se destaca como una variante de ransomware avanzada que utiliza herramientas innovadoras para eludir la detección y maximizar el daño. Hace poco se detectó en él el empleo de aplicaciones como TDSSKiller , diseñada para eliminar rootkits, y LaZagne , así como extraer credenciales, logrando así evadir medidas…

Infraestructura en la tecnología de información (IT), software, redes, hardware

Infraestructura en la tecnología de información (IT), software, redes, hardware Conoce las principales herramientas para la ciberseguridad con este ebook. DESCARGAR AQUÍ ¿Qué es infraestructura en la tecnología de la información?¿Por qué es importante la infraestructura tecnológica de la información?¿Cuáles son los elementos de la infraestructura de IT?¿Qué tipos de infraestructuras de tecnología de información…

¿Qué necesita un software de soporte técnico cómo distribuidor de informática?

¿Qué necesita un software de soporte técnico cómo distribuidor de informática? Conoce las principales herramientas para la ciberseguridad con este ebook. DESCARGAR AQUÍ CONTENIDO DEL ARTÍCULO Sistema de creación de incidencias Control remoto en el sistema de monitorización Grabaciones Elaboración de informes y paneles  Un soporte de atención al cliente no ocurre por arte de…

final banner acronis
ADM Secure & Compliance Week
 Del 22 al 26 de Septiembre
¡Apúntate!