Descubre la Directiva NIS 2, la nueva regulación de ciberseguridad europea

En 2023, España registró 107.777 ciberataques, según el Centro Criptológico Nacional (CCN), lo que representa un aumento del 94% respecto al año anterior. Este crecimiento subraya la necesidad de fortalecer la ciberresiliencia en la Unión Europea.

La Directiva NIS 2 busca abordar las amenazas cibernéticas en aumento, estableciendo un marco de ciberseguridad más robusto en todos los estados miembros. Entre sus principales cambios se incluyen medidas y sanciones más severas para las empresas, así como la ampliación de sectores afectados por la normativa.

España sufrió más de cien mil ciberataques, lo que da lugar a una nueva directiva de protección

En 2023, el Centro Criptológico Nacional (CCN) informó que España sufrió 107.777 ciberataques, lo que representa un aumento del 94 % respecto al año anterior. Esta alarmante cifra destaca la necesidad de mejorar la ciberresiliencia en toda la Unión Europea.

La actualización de la Directiva sobre seguridad de las redes y de la información busca responder a la creciente sofisticación y frecuencia de las amenazas cibernéticas, estableciendo un marco de ciberseguridad más robusto en la Unión. Entre las principales características de la Directiva NIS 2 se incluyen:

• Sanciones económicas. Las empresas consideradas esenciales, como las del sector energético, del transporte o de agua, podrán enfrentarse a multas de hasta 10 millones de euros o al 2% de su volumen de negocio global anual. Para empresas importantes en el país, la multa máxima será de hasta 7 millones de euros o el 1% de sus ingresos.
• Responsabilidad de la alta dirección. Los directivos de las empresas tendrán responsabilidad directa en la supervisión y ejecución de las políticas de ciberseguridad. Esto significa que podrían ser sancionados si no garantizan el cumplimiento de las medidas establecidas en la Directiva NIS 2.
• Inspecciones y auditorías. Las empresas estarán sujetas a inspecciones por parte de las autoridades nacionales para verificar su cumplimiento. Si se identifican fallos, se les podrá exigir que los corrijan y, en situaciones severas, se podría suspender su actividad comercial.
• Notificación de incidentes. Las empresas clasificadas como esenciales o importantes tendrán la obligación de reportar cualquier incidente significativo al Centro de Respuesta a Incidentes de Seguridad (CSIRT) o a la autoridad competente.

Estos cambios buscan fortalecer la seguridad cibernética en toda la Unión Europea, adaptándose a un panorama de amenazas en constante evolución.

¿La Directiva NIS 2 afecta a mi empresa?

TÜV Rheinland, una reconocida entidad global de inspección y certificación, lleva a cabo un webinar gratuito el 1 de octubre de 2024, a las 11:00h, con el propósito de ayudar a las empresas a comprender los requisitos de la Directiva NIS 2. En esta sesión se tratarán varios temas, como:

• Las empresas a las que se aplica la directiva
• Los impactos principales para las organizaciones
• Los requisitos mínimos que deben cumplirse
• Las responsabilidades y riesgos económicos asociados
• Las acciones necesarias
• Los pasos a seguir para asegurar el cumplimiento

Adaptarse a la Directiva NIS 2 permitirá a las empresas fortalecer aspectos clave en la gestión de la ciberseguridad, tales como:

1. Recuperación, garantizando la continuidad de las operaciones tras un ciberataque
2. Respuesta, estableciendo procesos y mecanismos eficaces para responder rápidamente a incidentes
3. Detección, implementando sistemas que faciliten una respuesta ágil ante amenazas
4. Protección, asegurando que los sistemas de defensa permanezcan activos en todo momento
5. Identificación, anticipándose a vulnerabilidades y riesgos para prevenir ataques

Ruben Fusté, Sales Manager de Industrial Services & Cybersecurity en TÜV Rheinland y ponente del webinar, menciona que la implementación de la Directiva NIS 2 proporcionará beneficios tangibles en términos de seguridad, eficiencia operativa y resiliencia.

Cumplir con esta normativa representa una inversión estratégica para las empresas que desean proteger sus activos digitales y asegurar la continuidad de su negocio en un entorno cada vez más regulado y digitalizado.