En este artículo hablaremos sobre la nueva Directiva Europea de Ciberseguridad, NIS2 y sobre cómo va a afectar a las empresas y cómo se van a tener que adaptar a los cambios.
La Unión Europea aprobó la nueva Directiva Europea de Ciberseguridad, llamada NIS2, el pasado mes de diciembre. El objetivo de esta Directiva es eliminar las diferencias entre los países miembros en la aplicación de la directiva sobre seguridad de las redes y sistemas de información de 2016 NIS. Pero esto, ¿cómo va a afectar a las empresas?
¿En qué consiste NIS2?
La Directiva NIS2 es una actualización de la Directiva NIS y su objetivo es garantizar un nivel elevado de seguridad en las redes y sistemas de información de la UE.
NIS2 está centrada en los proveedores de infraestructuras críticas. Su aprobación es un gran paso en la lucha contra los ciberdelincuentes y la protección de la información y la seguridad en línea.
Los Estados miembros de la UE tienen de plazo 21 meses para transponer la directiva a sus ordenamientos jurídicos.
¿En qué influye NIS2 a las empresas?
La nueva directiva NIS2 plantea nuevos retos a las empresas. En primer lugar, éstas deben tener visibilidad total sobre el perímetro de seguridad. Además, deben evitar la fragmentación tecnológica y organizativa. Por otro lado, deben profesionalizar la función, con más talento de ciberseguridad y deben implementar mecanismos de mejora continua.
NIS2 aumentará la responsabilidad personal a los consejeros y directivos, por lo que es previsible un aumento en la demanda de ciberseguros, para adelantarse a los ataques y amenazas.
La nueva directiva quiere reivindicar la necesidad de destinar más recursos a la ciberseguridad.
Novedades de la Directiva NIS2
En primer lugar, se introduce la distinción entre dos categorías de empresas afectadas por NIS2: esenciales e importantes.
La clasificación está hecha basándose en el carácter crítico de los sectores en los que actúen, el tipo de servicio ofrecido y el tamaño de la empresa. Esta distinción no influye en las obligaciones, ya que éstas serán las mismas, sino que repercute en las sanciones. Las entidades esenciales tendrán sanciones más grandes.
Los requisitos de seguridad se vuelven más estrictos y las medidas serán proporcionales a los riesgos a los que esté expuesta cada entidad.
En cuanto a las sanciones, van a aumentar tanto en las entidades importantes como en las esenciales. En las esenciales, las multas más grandes llegarán a los 10 millones de euros o un 2% del volumen de negocio anual global. En las importantes, las multas más altas llegarán a los 7,5 millones de euros o un 1,4% del volumen de negocio.
Además, cabe destacar que los Estados miembros podrán establecer sanciones penales y existirá una responsabilidad directa para los altos directivos, así como prohibiciones temporales para ejercer cargos.