El 16 de enero de 2023 entró en vigor la Directiva NIS2. Se espera que los estados miembros de la UE adopten y publiquen las disposiciones necesarias para cumplir con la Directiva antes del 17 de octubre de 2024.
La Directiva sobre la seguridad de las redes y sistemas de información (NIS) fue una iniciativa liderada por la UE que tenía como objetivo lograr un nivel común de ciberseguridad en todos los estados miembros. Si bien aumentó las capacidades de ciberseguridad, la implementación resultó ser un reto, lo que provocó la fragmentación en todo el mercado. Para abordar las crecientes amenazas de la digitalización y los ataques cibernéticos, la comisión propuso reemplazar la directiva NIS con NIS2, que fortalece los requisitos de seguridad, aborda la seguridad de la cadena de suministro, agiliza la presentación de informes e introduce medidas de supervisión y cumplimiento más estrictas, incluidas sanciones armonizadas en toda la UE. NIS2 amplía la gama de entidades que caen bajo su alcance, abarcando muchas organizaciones que no estaban obligadas a cumplir con la Directiva NIS original.
La nueva legislación entró en vigor el 16 de enero de 2023, y los estados miembros tienen hasta el 17 de octubre de 2024 para transponer sus medidas a la legislación nacional, y el incumplimiento podría dar lugar a multas significativas. En el Reino Unido, las empresas podrían recibir multas de hasta 17 millones de libras esterlinas; En la UE, las entidades "esenciales" se enfrentan a sanciones de hasta 10 millones de euros, o el 2 % de su facturación total a nivel mundial.
Sectores impactados
El ámbito NIS existente se expandirá significativamente en la UE, con organizaciones en varios sectores nuevos considerados "esenciales". Estos sectores incluyen el espacio, las aguas residuales, las administraciones públicas (pueden aplicarse excepciones), los proveedores de servicios de centros de datos, los proveedores de servicios de confianza, las redes de entrega de contenido y redes y servicios públicos de comunicaciones electrónicas. Otros sectores, como los servicios postales, los productos químicos y la fabricación de productos clave, también deberán cumplir con los requisitos como entidades "importantes". Sin embargo, estarán sujetos a menos supervisión regulatoria que los clasificados como "esenciales".
¿Qué pasa ahora?
Los estados miembros tienen hasta el 17 de octubre de 2024 para tomar las medidas adecuadas para garantizar el cumplimiento de los requisitos NIS2. Las empresas deben aprovechar este tiempo para comprender cómo les afectará la nueva directiva y qué pasos deben tomar para demostrar el cumplimiento.
Es importante tener en cuenta que, de acuerdo con el artículo 24 de la directiva NIS2, los estados miembros también tienen la opción de exigir la certificación de productos, servicios y procesos de TIC para entidades esenciales o importantes bajo esquemas europeos de ciberseguridad. Dependiendo de su categoría comercial, la certificación según estándares específicos como ISO 27001 y CSA STAR puede volverse obligatoria. Por lo tanto, es crucial entender cómo cada estado miembro aplica la directiva, ya que puede haber variaciones entre diferentes territorios.
Partner de LRQA
Con nuestra cartera conectada de soluciones de ciberseguridad avanzadas, estamos dispuestos a ayudarle a abordar los requisitos de NIS2.
Ofrecemos una amplia gama de servicios de certificación según los principales estándares del mundo, incluido ISO 27001, complementados con una cartera de soluciones de ciberseguridad avanzadas ofrecidas por nuestros especialistas de LRQA Nettitude. Podemos certificar sus sistemas, abordar vulnerabilidades y ayudar a prevenir ataques e incidentes, respaldando su viaje hacia el cumplimiento de NIS2 con un conocimiento y una experiencia técnica muy elevados.