Desempaquetando NIS2: ¿Cómo afecta a su negocio?

La Comisión Europea ha introducido una revisión de la Directiva roja y de seguridad de la información (NIS2) que entrará en vigor el 17de octubre de 2024. Se basa en el marco regulatorio original de ciberseguridad de1 NIS y afecta tanto a las empresas del sector público como al privado de infraestructuras y/o servicios críticos (KRITIS).

En este artículo, los expertos en Nitro proporcionan una visión completa de la NIS2 e información útil sobre el cumplimiento de los requisitos normativos para esta regulación pendiente. Este artículo no pretende constituir asesoramiento legal.

Para obtener una sólida comprensión de la2NIS, es importante comprender las estipulaciones de NIS1. La1 NIS, también conocida como Directiva NIS, fue "el primer instrumento horizontal del mercado interno destinado a mejorar la resiliencia de los sistemas rojos y de información en la Unión [Europea] frente a los riesgos de ciberseguridad", según la Comisión Europea. A medida que aumentaba la digitalización, la Comisión detectó determinadas deficiencias de la1 de SRI y, posteriormente, desarrolló2de SRI.

NIS2 se aplica a las empresas de KRITIS que tienen más de 50 empleados o una facturación anual de10 millones de euros. Debido a que la2 NIS amplía el alcance de las entidades incluidas en la regulación, otras organizaciones pueden estar sujetas a las nuevas reglas, incluso si no tienen esos requisitos de tamaño o ingresos. Las entidades dentro de la cadena de suministro de una organización cubierta también pueden entrar en el ámbito de aplicación de NIS2. Además, los Estados miembros de la UE pueden emitir sus propias extensiones de la sentencia.

Con la introducción de la2NIS, las organizaciones deben implementar una serie de medidas de seguridad y procedimientos de presentación de informes, incluida la gestión de riesgos, la seguridad de la cadena de suministro y la respuesta adecuada a incidentes. Sus objetivos son mejorar la resiliencia y las capacidades de respuesta a incidentes de los sectores público y privado, las autoridades competentes y la UE.

La2 de la SRI afectará a unas 100000 organizaciones de toda la UE, además de las que ya están incluidas en el ámbito de aplicación de la1de la SRI. El alcance de los sectores ha pasado de siete a 18, e incluye:

• Transporte 
• Bancario 
• Mercados financieros 
• Agua potable 
• Infraestructura digital 
• Energía 
• Salud 
• Servicios postales y de mensajería 
• Fabricación de productos críticos 
• Aguas residuales y gestión de residuos 
• Administración pública 
• Espacio 
• Investigación 
• Servicios digitales 
• Producción, procesamiento y distribución de alimentos 
• Telecom 
• Fabricación, producción y distribución de productos químicos 
• Proveedores de servicios digitales 

A continuación se detallan los nuevos requisitos y obligaciones para las organizaciones que entran en el ámbito de aplicación de la2NIS.

La directiva presenta una lista mínima de medidas de seguridad que las entidades deben tomar para minimizar el riesgo cibernético, que incluyen, entre otras, políticas de gestión de incidentes, seguridad de la cadena de suministro, cifrado, continuidad del negocio y análisis de riesgos. NIS2 requiere específicamente que las organizaciones tengan planificar (verbo) que entre en vigor durante y después de un incidente, como medidas de respaldo, garantizar el acceso a sus sistemas de TI, recuperar datos y sistemas, el procedimiento para un equipo de respuesta a crisis, y más.

La2 NIS intensifica las obligaciones de información de las entidades si experimentan un incidente de seguridad. Las organizaciones pueden tener varios organismos a los que deben informar de un incidente, incluidos sus clientes. Algunos incidentes pueden entrar en una categoría de infracciones que requieren el cumplimiento de plazos de notificación de 24hora.

La directiva exige a las organizaciones que se aseguren de que sus proveedores y socios a lo largo de sus cadenas de suministro lleven a cabo la gestión de riesgos y también se adhieran a ciertas políticas. Este cambio es lo que puede afectar a muchas entidades que no están directamente dentro del alcance de los2de NIS, pero que hacen negocios como miembros de la cadena de suministro de dichas empresas.

NIS2 tiene como objetivo responsabilizar a los líderes de las empresas por sus roles en la ciberseguridad y establece sanciones por incumplimiento. La gerencia debe ser capacitada en las medidas de seguridad y puede ser considerada responsable, o incluso destituida de sus puestos gerenciales, en caso de que ocurran infracciones.

El primer paso para cualquier organización que sospeche que puede entrar en el ámbito de aplicación de NIS2es determinar si se ven afectados.

La2 NIS cambia la forma en que las organizaciones se clasifican en entidades "esenciales" e "importantes". Cada categoría está bajo diferente supervisión y aplicación de la ley.

A continuación, deberá evaluar las medidas y políticas de seguridad existentes para obtener una comprensión básica de cómo puede cumplir con las2NIS. La firma de investigación PwC recomienda utilizar un marco de controles de ciberseguridad que mapee "controles específicos en funcionamiento dentro de su negocio a cada cláusula de2 de NIS para ayudar a informarle de las áreas en las que la organización no puede cumplir con sus obligaciones de2 de NIS en la actualidad".

Como parte de su evaluación, querrá considerar si su estado miembro de la UE debe implementar sus propios requisitos de cumplimiento normativo. Por ejemplo, Alemania planificar (verbo) para implementar NIS2UmsuCG el 1de octubre de 2024.

A continuación, debe probar la herramienta y los procesos, como la respuesta a incidentes, la gestión de crisis, la continuidad del negocio y la conmutación por error, y los procedimientos de emergencia. En última instancia, lo ideal es probar cualquier proceso que se relacione con su capacidad para cumplir con las2NIS.

También es importante examinar la cultura organizacional y el enfoque de la ciberseguridad para asegurarse de que los miembros del equipo estén alineados en el cumplimiento normativo y que la gerencia esté haciendo su debida diligencia.

En caso de incumplimiento de determinados requisitos, las entidades esenciales podrán ser multadas con un máximo de al menos10€,000000 o un máximo de al menos el 2% del volumen de negocios anual total a nivel mundial en el ejercicio anterior. Las entidades importantes podrán ser multadas con un máximo de al menos7€,000,000 o un máximo de al menos 1.4% del total de la facturación anual mundial en el ejercicio anterior.

Nitro es un proveedor de soluciones de PDF y firmar electrónicamente (verbo) con presencia global, especializado en apoyar la seguridad y el cumplimiento normativo para organizaciones con sede en la UE. Ofrecemos soluciones avanzadas de documentos que garantizan la seguridad e integridad de los documentos digitales tanto para su organización como para sus socios a lo largo de su cadena de suministro.

Con Nitro, las empresas pueden implementar estrictos controles de acceso, cifrado, marcado de datos confidencial y firma digital , todos los cuales son esenciales para mantener el cumplimiento normativo con las obligaciones mejoradas de gestión de riesgos e informes de incidentes de NIS2. Estas funciones ayudan a evitar el acceso no autorizado y garantizan la protección de la información confidencial. Conoce más sobre cómo Nitro el soporte NIS2 cumplimiento normativo en este blog.

Ponte en contacto con uno de nuestros expertos en PDF y firmar electrónicamente (verbo) para descubrir cómo podemos ayudarte o explorar una prueba gratuita de Nitro.