¿Cómo afecta la Directiva NIS 2 de ciberseguridad a las empresas españolas?

España registró 107.777 ciberataques en 2023, un 94% más que en 2022. Estas impactantes cifras han llevado a la Unión Europea (UE) a actuar y lanzar la Directiva NIS 2, una actualización que refuerza los requisitos de la actual NIS, vigente desde el año 2016.

La principal novedad que introduce la Directiva NIS 2 de ciberseguridad es el establecimiento de una mayor supervisión y sanciones más estrictas para la protección de los sistemas de información de más de 100.000 empresas de toda Europa. No obstante, en España aún está en el aire qué compañías tendrán que adaptarse a la norma.

¿Cómo afecta la Directiva NIS 2 de ciberseguridad?

La UE estableció el 17 de octubre como fecha tope para que todos los estados miembros adaptaran la nueva normativa a sus respectivas legislaciones. Aunque es posible que en España la aplicación de la norma se demore algunos meses, las organizaciones de los sectores afectados deben aprovechar este período para prepararse y adaptar su operativa a los requisitos establecidos en la NIS 2.

Esto incluye documentar meticulosamente sus procesos, establecer medidas sólidas de gestión de riesgos, protección de datos y respuesta a incidentes, así como cumplir con las normativas de notificación de ciberataques. Además, la implementación de la NIS 2 también exige integrar un Sistema de Gestión de la Seguridad de la Información (SGSI) para proteger y garantizar la confidencialidad, integridad y disponibilidad de la información.

¿Qué empresas deben cumplir la Directiva NIS2 de ciberseguridad?

La normativa establece una división en función de la importancia crítica del sector en que desarrollen su actividad. Es decir:

• Entidades Esenciales: las dedicadas al transporte, energía, banca, salud o agua.
• Entidades Importantes: servicios postales y de mensajería, gestión de residuos, producción, procesamiento y distribución de alimentos, proveedores digitales, investigación.

Estas empresas podrán ser pequeñas, medianas o grandes empresas, tanto privadas como públicas.

¿Qué ocurre si las empresas no cumplen con la Directiva NIS2 de ciberseguridad?

En el caso de que una empresa no cumpla con la normativa, la actualización de la NIS incluye un endurecimiento de las sanciones en caso de incumplimiento. Desde la certificadora TÜV Rheinland indican:

• Para las entidades esenciales, las multas pueden alcanzar la cifra de 10 millones de euros o el equivalente al 2% de su negocio total anual global.
• En el caso de las entidades importantes, pueden llegar a 7 millones de euros o a un máximo del 1,4% de su negocio total anual global.

La Directiva NIS 2 establece un marco europeo común de ciberseguridad para proteger infraestructuras críticas y servicios esenciales contra ciberataques. En este sentido, para España representa una oportunidad única para modernizar y fortalecer la red seguridad digital, esencial para el desarrollo económico y la seguridad nacional.