La normativa sobre ciberseguridad en Europa ha evolucionado drásticamente en los últimos años, con un énfasis cada vez mayor en la resistencia, la responsabilidad y la capacidad de recuperarse rápidamente de los incidentes. Aquí es donde entra en juego NIS2, la última directiva de la UE. Basada en marcos bien conocidos como la serie ISO 27000, NIS2 está diseñada para centrar más la atención en la gestión de riesgos, la planificación de la continuidad y la supervisión de la cadena de suministro. Es más que una tarea de cumplimiento: es un mandato para que las organizaciones aseguren sus operaciones desde la base hasta la sala de juntas. A medida que cada Estado miembro transpone la NIS2 a su legislación nacional, las empresas se enfrentan a nuevos requisitos que trascienden las fronteras y los sectores, imponen la responsabilidad de la alta dirección y exigen una notificación rápida de los incidentes. Por lo tanto, comprender las especificidades de la directiva -y actuar con prontitud- es esencial para garantizar que tu organización cumpla la normativa y lidere con resiliencia. Esto es lo que necesita saber para anticiparse
Una nueva capa de cumplimiento: ¿Qué tiene de diferente NIS2?
Quienes ya estén familiarizados con la serie ISO 27000 reconocerán varios principios comunes de NIS2, como el énfasis en la gestión de riesgos y las medidas de ciberseguridad. Sin embargo, NIS2 conlleva obligaciones adicionales que van más allá de los requisitos típicos de la certificación ISO, especialmente con su postura obligatoria sobre la gestión de riesgos de la cadena de suministro y la concienciación sobre ciberseguridad, que ahora se extiende a todos los niveles de la empresa:
- Gestión de riesgos y continuidad del negocio: NIS2 va más allá de las directrices más generales de ISO 27001 y formaliza la necesidad de un enfoque basado en el riesgo que incluya una sólida planificación de la continuidad del negocio.
- Gestión de riesgos de la cadena de suministro: La nueva directiva detalla una supervisión más estricta de la cadena de suministro de terceros, responsabilizando a las empresas de las prácticas de ciberseguridad de sus contratistas y proveedores.
- Concienciación y formación: La NIS2 va más allá de los requisitos habituales de concienciación con un requisito específico de formación en ciberseguridad a nivel directivo. Esto significa que los altos directivos ya no pueden delegar en los equipos de TI, Riesgos o Seguridad la toma de decisiones, sino que deben comprender y participar activamente.
En resumen, NIS2 sube la apuesta de las normas de ciberseguridad existentes y pone de relieve la ambición de Europa de hacer que la infraestructura digital no sólo sea segura, sino también resistente, fiable y más preparada a las amenazas cambiantes.
Cuatro pasos para una puesta al día en NIS2
Los expertos en ciberseguridad han subrayado varias formas en que las organizaciones pueden iniciar su camino hacia el cumplimiento. He aquí cuatro pasos que cualquier empresa puede seguir para asegurarse de estar a la vanguardia:
- Comprueba si NIS2 te afecta: El primer paso, el más obvio, es comprobar si NIS2 afectará a su empresa. La forma más sencilla de entenderlo es saber que NIS2 divide a las empresas en categorías «esenciales» e «importantes», cada una con obligaciones de cumplimiento específicas. Las entidades esenciales suelen ser grandes empresas en sectores críticos como la energía y la sanidad, mientras que las entidades importantes son normalmente de tamaño medio pero aún económicamente significativas. Si tiene más de 50 empleados o una facturación superior a 10 millones de euros, está impactando. Así pues, lo primero que debe hacer es realizar una comprobación interna para confirmar su categoría y saber qué nivel de supervisión se aplica. Para las multinacionales, es fundamental conocer las normas específicas de cada país.
- Prepárate para el registro transfronterizo: NIS2 exige que las organizaciones afectadas se registren ante las autoridades de todos los países de la UE en los que operan, y cada país puede tener ligeras variaciones en sus normas. Planificar esto con antelación le ahorrará sin duda muchos problemas. Si tu empresa opera en varias regiones, puede valer la pena trabajar con expertos familiarizados tanto con las directivas de la UE como con las normas locales para asegurarse de que está cubierta.
- Formar a la alta dirección: NIS2 obliga a los altos directivos a cumplir las normas, por lo que necesitan formación específica sobre estos nuevos requisitos. No se trata de conocimientos técnicos, sino de una sólida comprensión de las exigencias de NIS2 en materia de notificación de incidentes, protocolos de respuesta y gestión de riesgos en general. Los líderes que comprendan claramente estas responsabilidades tendrán una gran influencia en la organización, marcando la pauta de la seguridad en todo el conjunto.
- Establece protocolos de notificación de incidentes: NIS2 exige que los incidentes cibernéticos se notifiquen en un plazo de 24 horas, por lo que contar con un proceso de notificación rápido y bien probado será primordial. Crea un equipo de respuesta a incidentes, pon a prueba tus protocolos y considera la posibilidad de utilizar sistemas automatizados para agilizar la detección y las alertas. De este modo, tu equipo podrá documentar rápidamente los incidentes y cumplir los requisitos de notificación sin tener que andar dando vueltas. Si das estos pasos con tiempo suficiente, hay más posibilidades de que su empresa construya una base sólida para el cumplimiento de NIS2, mejorando su solidez general para todo lo relacionado con la ciberseguridad.
Cumplir requisitos de los distintos países
Un reto al que se enfrentan muchas empresas es que, a diferencia de los reglamentos, las directivas como la NIS2 no son uniformes en todos los países, sino que permiten a cada Estado miembro crear sus propias leyes de aplicación. Esto puede dar lugar a posibles discrepancias entre países. Aunque aún no se ha definido la autoridad supervisora específica para la NIS2 en España, es probable que sea el Centro Nacional para la Protección de Infraestructuras y Ciberseguridad (CNPIC). En el caso de Alemania, será el Bundesamt für Sicherheit in der Informationstechnik (BSI) la autoridad supervisora central, mientras que las empresas neerlandesas tendrán que informar al Rijksinspectie Digitale Infrastructuur (RDI). Dichos organismos tienen mandatos similares, pero pueden interpretar los requisitos de cumplimiento de forma ligeramente distinta.
También existe la posibilidad de que surjan complicaciones con las cadenas de suministro y los proveedores externos. NIS2 exige que las organizaciones evalúen las prácticas de ciberseguridad de la cadena de suministro, lo que significa que las empresas que suministran a entidades esenciales o importantes de la UE también pueden tener que adaptarse a los requisitos de la NIS2 aunque no estén directamente obligadas por la directiva.
Para las empresas no pertenecientes a la UE, especialmente las que operan a través de filiales o proveedores, la adaptación a los requisitos de NIS2 podría convertirse en una norma de facto para conservar a los clientes europeos.
No esperes, actúa ya
Los requisitos de largo alcance de NIS2 llaman la atención sobre la importancia de una cultura de ciberseguridad proactiva para todos aquellos a los que se aplica. Se trata de algo más que de mantener cortafuegos y formar al personal sobre phishing: requiere un cambio fundamental en la forma en que las empresas gestionan el riesgo de ciberseguridad. Los miembros del consejo de administración, los ejecutivos y los responsables operativos tendrán que impulsar esta cultura de arriba abajo, dando prioridad a las medidas de seguridad tanto preventivas como reactivas.
Por ahora, la Directiva aún está en proceso de transposición nacional en los Estados miembros, pero una vez que se promulgue en cada país, los requisitos de cumplimiento entrarán en vigor inmediatamente. Por tanto, las empresas no deben esperar para actuar. La UE ha dejado claro que la aplicación de esta normativa será estricta, y que las autoridades supervisoras estarán facultadas para realizar auditorías e imponer multas en caso de incumplimiento.
Las organizaciones deben tratar la NIS2 como una estrategia a largo plazo, integrando la ciberseguridad en todos los niveles operativos para crear resistencia frente a futuras amenazas. Las empresas que ya dispongan de medidas sólidas de seguridad de la información, como las que cuenten con la certificación ISO 27001, se encontrarán en una mejor situación. Sin embargo, incluso estas organizaciones tendrán que abordar las nuevas áreas de interés de NIS2, como la supervisión de la cadena de suministro, la notificación obligatoria de incidentes y la responsabilidad de la dirección. Nadie se libra.
Preparación para NIS2: pasos clave para el cumplimiento
Dada la rapidez con la que evoluciona el panorama de la ciberseguridad, el cumplimiento de NIS2 debe ser una prioridad en la planificación estratégica de tu organización. A continuación se ofrece una rápida visión general de cómo ponerse manos a la obra:
- Determina si NIS2 se aplica a tu empresa y establece tu vía de cumplimiento.
- Planifica el registro en varios países y prepare su estrategia de cumplimiento regional.
- Implementa gradualmente de formación de la alta dirección para inculcar una comprensión descendente de las responsabilidades en materia de ciberseguridad.
- Por último, desarrolla protocolos de notificación de incidentes que se ajusten al requisito de 24 horas de NIS2.
Siguiendo estos pasos de forma proactiva, tu empresa estará bien posicionada para cumplir las exigencias de NIS2, reduciendo el riesgo de multas y reforzando tu reputación como socio empresarial seguro y resistente. Este artículo ha sido elaborado gracias a la colaboración de Andrea Krush (Países Bajos), Patric Lenhart (Alemania) y Robin Herrmann (Suiza).