Directiva NIS2, nueva normativa europea en ciberseguridad que deben cumplir las empresas
Autor: ESED - It & CyberSecurityLa ciberseguridad se ha convertido en uno de los aspectos más determinantes para el correcto funcionamiento de cualquier empresa. Al recibir un ciberataque, no solo comprometes a tu propia empresa, sinó que también puedes afectar a todo el entorno de tu compañía: clientes, proveedores o incluso a tus empleados.
Los ciberataques en España, alcanzaron en 2023 un máximo histórico con 107.777 incidentes registrados, según el Centro Criptológico Nacional (CCN). Es por eso que desde la Unión Europea se han visto forzados a actualizar la normativa vigente en relación a la ciberseguridad en las empresas.
¿Qué es la Directiva NIS2?
La Directiva NIS2 llega para sustituir la anterior normativa, la NIS1. Esta nueva normativa (NIS2) se aprobó en noviembre de 2022 y entró en vigor el 16 de enero de 2023. Los Estados miembros deberán aprobar y dar a conocer las medidas necesarias para cumplir con lo dispuesto en la Directiva antes del 17 de octubre de 2024.
Una de las principales novedades de esta nueva directiva es que extiende su alcance, brindando mayor protección a los sectores y servicios de mayor importancia social y económica, clasificándolos como entidades esenciales o importantes según la criticidad de sus sectores, su tamaño o el tipo de servicio que ofrezcan. Como resultado, se elimina la clasificación establecida por la NIS1 respecto a los operadores de servicios esenciales y los proveedores de servicios digitales.
La NIS2 también fortalece los requisitos de seguridad que deben cumplir las entidades implicadas, especifica el proceso de notificación de incidentes, trata la seguridad en la cadena de suministro y las relaciones con los proveedores, refuerza el intercambio de información sobre incidentes y la divulgación de vulnerabilidades, y crea una red europea de apoyo en crisis (EU-CYCLONe).
¿A qué tipo de empresas aplica esta nueva normativa?
Esta nueva normativa aplica a medianas y grandes empresas con carácter general. Para saber si tu empresa está definida como pequeña, mediana o gran empresa, puedes comprobarlo a través de las siguientes definiciones:
-
Microempresa: empresa que ocupa a menos de 10 personas y cuyo volumen de negocios anual o cuyo balance general anual no supera los 2 millones de euros.
-
Pequeña empresa: empresa que ocupa a menos de 50 personas y cuyo volumen de negocios anual o cuyo balance general anual no supera los 10 millones de euros.
-
Mediana empresa: empresa que ocupa entre 50 y 250 personas y cuyo volumen de negocios anual no excede de 50 millones de euros o cuyo balance general anual no excede de 43 millones de euros.
-
Gran empresa: empresa que ocupa más de 250 personas y cuyo volumen de negocios anual o cuyo balance general anual sea superior a 43 millones de euros.
Casos en los que la NIS2 afecta a microempresas y pequeñas empresas
Hay pequeñas empresas que, por su papel clave para la sociedad o para determinados sectores específicos, también se ven afectadas por esta nueva normativa. Las siguientes microempresas y pequeñas empresas podrían ser incorporadas dentro de su ámbito de aplicación:
2. Independientemente de su tamaño, la presente Directiva también se aplicará a las entidades de alguno de los tipos mencionados en los anexos I o II cuando:
a) los servicios son prestados por:
i) proveedores de redes públicas de comunicaciones electrónicas o servicios de comunicaciones electrónicas disponibles para el público;
ii) prestadores de servicios de confianza;
iii) registros de nombres de dominio de primer nivel y proveedores de servicios de sistema de nombres de dominio;
b) la entidad sea el único proveedor en un Estado miembro de un servicio esencial para el mantenimiento de actividades sociales o económicas críticas;
c) una perturbación del servicio prestado por la entidad pudiera tener repercusiones significativas sobre la seguridad pública, el orden público o la salud pública;
d) una perturbación del servicio prestado por la entidad pudiera inducir riesgos sistémicos significativos, en particular para los sectores en los que tal perturbación podría tener repercusiones de carácter transfronterizo;
e) la entidad sea crítica a la luz de su importancia específica a nivel nacional o regional para el sector o tipo de servicio en concreto o para otros sectores interdependientes en el Estado miembro;
f) la entidad sea una entidad de la Administración pública:
i) central, definida por un Estado miembro de conformidad con el Derecho nacional, o
ii) regional, definida por un Estado miembro de conformidad con el Derecho nacional, que, tras una evaluación basada en el riesgo, presta servicios cuya perturbación podría tener un impacto significativo en actividades sociales o económicas críticas.
3. Independientemente de su tamaño, la presente Directiva se aplica a las entidades que se identifiquen como entidades críticas con arreglo a la Directiva (UE) 2022/2557
4. Independientemente de su tamaño, la presente Directiva se aplica a las entidades que presten servicios de registro de nombres de dominio.
Nuevos sectores incluidos en la Directiva NIS2
Como hemos comentado anteriormente, la Directiva NIS2 amplía su ámbito de aplicación a sectores y subsectores de alta criticidad y otros sectores críticos.
Sectores de alta criticidad
-
Sector energético. A este sector se añade el subsector de operadores de producción, almacenamiento y transporte de hidrógeno y los sistemas urbanos de calefacción y refrigeración.
-
Subsector electricidad. Ahora incluye a entidades productoras, operadores designados para el mercado eléctrico y responsables de la gestión y explotación de un punto de recarga.
-
Subsector del crudo. Ampliado con entidades centrales de almacenamiento.
-
Sector sanitario. Se añaden laboratorios de referencia en la UE, entidades que investiguen y desarrollen nuevos medicamentos, entidades que fabrican productos farmacéuticos de base y entidades que fabrican productos sanitarios que se consideran esenciales en situaciones de emergencia de salud pública.
-
Sector de aguas residuales.
-
Sector de infraestructura digital. Incluye proveedores de servicios de computación en la nube, proveedores de distribución de contenidos, prestadores de servicios de confianza y proveedores de redes públicas de comunicaciones electrónicas.
-
Sector de gestión de servicios TIC (de empresa a empresa).
-
Entidades de la Administración pública central y regional.
-
Sector espacial. Con los operadores de infraestructuras terrestres que apoyan la prestación de servicios espaciales.
Otros sectores críticos
-
Sector de servicios postales y de mensajería.
-
Sector gestión de residuos.
-
Sector de fabricación, producción y distribución de sustancias y mezclas químicas.
-
Sector de producción, transformación y distribución de alimentos.
-
Sector de fabricación.
-
Organismos de investigación.
-
Proveedores de servicios digitales. Como novedad, se incluyen las plataformas de servicios de redes sociales.
La NIS2 pretende actualizarse a la creciente ciberamenaza a la que se enfrentan las empresas y las organizaciones públicas críticas. Cabe recordar que un ciberataque puede provocar la suspensión de la actividad normal de cualquier empresa y, en el caso de tratarse de una empresa organización crítica, sus consecuencias pueden ser muy perjudiciales.
Si tienes dudas sobre si cumples con esta normativa, o necesitas fortalecer tu seguridad informática, no dudes en contactar con nosotros. Además, ligado al cumplimiento de esta normativa, el Gobierno español ofrece ayudas y subvenciones en ciberseguridad incluidas dentro del programa Kit Consulting.
Protégete y evita sanciones y multas que puedan poner en riesgo a tu empresa.