La directiva (UE) NIS2 2022/2555 es una actualización de la Directiva sobre Seguridad de las Redes y los Sistemas Informáticos (NIS) con el objetivo de fortalecer y unificar las medidas de ciberseguridad en todos los Estados miembros de la Unión Europea.
Las empresas de la Unión Europea que por su actividad se consideren esenciales para el funcionamiento de la economía y la sociedad europea aplica esta directiva.
NIS2 divide las empresas en dos tipos:
- Entidades Esenciales (EE): empresas del sector transporte, de suministros como electricidad y agua, de la sanidad (hospitales y centros de salud) y bancario.
- Entidades Importantes (IE): empresas de mensajería, proveedores digitales, empresas de gestión de residuos, plantas de producción, empresas de alimentación.
El primer tipo de entidad, EE, tiene que cumplir con requisitos más exigentes en referencia a cumplimiento, obligaciones de notificación de incidentes y medidas de seguridad.
Medidas de ciberseguridad requeridas por NIS2
Las empresas deben cumplir medidas tanto de materia de ciberseguridad como de gestión de riesgos, como:
- Implantación de un sistema de autenticación multifactor (MFA).
- Control de acceso a los sistemas con un nivel mínimo de permisos.
- Seguridad en la cadena de suministro, asegurar aspectos relacionados con la seguridad con las relaciones de las diferentes partes de la empresa (entidades, proveedores, etc).
- Sistemas de prevención para detectar y prevenir ciberataques.
- Políticas de backup, tener un sistema de recuperación de datos y continuidad de negocio.
- Formación de ciberseguridad a todos los empleados de la empresa y desarrollar políticas de ciberhigiene.
¿Cuál es la fecha de entrada en vigor de la normativa?
Esta directiva entró en vigor el 16 de enero de 2023 y todos los Estados miembros deben adoptar las medidas necesarias para cumplir con la directiva antes del 17 de octubre de 2024.
¿Cuáles son las sanciones en caso de incumplimiento de la normativa?
En caso de no aplicar la normativa NIS2, las sanciones por incumplimiento pueden ser:
- Para las «Entidades Esenciales» (EE): máximo de 10 millones de euros o un máximo del 2% del volumen de negocio total anual global de la empresa del ejercicio anterior.
- Para las «Entidades Importantes» (EI): máximo de 7 millones de euros o un máximo del 1.4% del volumen del negocio total anual global de la empresa del ejercicio anterior.