La NIS2 amplía su ámbito de aplicación a entidades esenciales o importantes en función del grado de criticidad de sus sectores, de su tamaño o del tipo de servicio prestado

La realidad de las empresas y organizaciones ha impulsado la necesidad de revisar y actualizar la legislación europea vigente en materia de ciberseguridad. Hasta ahora la Directiva NIS1 de 2016 establecía un marco normativo de medidas destinadas a garantizar un alto nivel de seguridad de las redes y sistemas de información en la Unión Europea, pero éste se ha quedado obsoleto con el tiempo.

El panorama digital actual se caracteriza por una interconexión sin precedentes, lo que también aumenta la vulnerabilidad ante ciberataques. La nueva Directiva NIS2 surge como respuesta a esta realidad, buscando:

• Elevar el nivel común de ciberseguridad en toda la UE: estableciendo requisitos mínimos armonizados para proteger redes y sistemas de información.
• Ampliar el alcance de la protección: incluyendo nuevos sectores y entidades que se consideran esenciales para la economía y la sociedad.
• Fortalecer la cooperación y el intercambio de información: fomentando la colaboración entre los Estados miembros para una respuesta más eficaz ante incidentes cibernéticos.

En este sentido, la Directiva NIS2 amplía el ámbito de aplicación, dotando así de una mayor cobertura a los sectores y servicios de mayor relevancia social y económica, considerándolos como entidades esenciales o importantes, en función del grado de criticidad de sus sectores, de su tamaño o del tipo de servicio prestado. Así, las entidades obligadas a cumplir con sus requisitos son:

• Empresas de más de 250 empleados con un volumen de facturación de más de 50 millones de euros o cuyo balance general anual excede de 43 millones de euros.
• Empresas de más de 50 empleados con un volumen de facturación de más de 10 millones de euros de los siguientes sectores: energía, transporte, banca, infraestructura de los mercados financieros, sanitario, agua potable, aguas residuales, infraestructura digital, gestión de servicios TIC, espacio, servicios postales y de mensajería, gestión de residuos, fabricación, producción y distribución de sustancias y mezclas químicas, producción, transformación y distribución de alimentos, fabricación, proveedores de servicios digitales, e investigación.
• Las entidades que estén dentro de los sectores mencionados sin importar su tamaño y facturación cuando los servicios sean prestados por proveedores de redes públicas de comunicaciones electrónicas o servicios de comunicaciones electrónicas disponibles para el público; prestadores de servicios de confianza; o registros de nombres de dominio de primer nivel y proveedores de servicios de sistema de nombres de dominio; sean el único proveedor de un servicio esencial para el mantenimiento de actividades sociales o económicas críticas; una perturbación de su servicio pudiera repercutir significativamente sobre la seguridad, orden y salud públicas o pudiera inducir riesgos significativos que pudiera tener repercusiones de carácter transfronterizo o sea crítica a la luz de su importancia a nivel nacional o regional para el sector o tipo de servicio o para otros sectores interdependientes.
• Administraciones Públicas (a espera de mayor especificación en la disposición que lo desarrolle en la normativa nacional).
• Entidades que presten servicios de registro de dominio.
• Entidades críticas

Estas entidades esenciales e importantes deberán adoptar medidas técnicas, operativas y organizativas adecuadas y proporcionales para gestionar los riesgos de ciberseguridad a los que se enfrentan y prevenir o minimizar el impacto de los incidentes en sus servicios y en servicios de terceros. Dichas medidas incluirán:

• Políticas de análisis de riesgos y políticas de seguridad de la información.
• Gestión de incidentes.
• Continuidad de las actividades, copias de seguridad, recuperación en caso de catástrofe y gestión de crisis.
• Seguridad en la cadena de suministro y relaciones con proveedores y prestadores de servicios.
• Seguridad en la adquisición, desarrollo y mantenimiento de redes y de información. Gestión y divulgación de vulnerabilidades.
• Políticas y procedimientos para evaluar la eficacia de las medidas.
• Prácticas básicas de ciberhigiene y formación en ciberseguridad.
• Políticas y procedimientos de criptografía y cifrado.
• Seguridad de los RRHH, políticas de control de acceso y gestión de activos.
• Autenticación multifactorial o continua, comunicaciones de voz y sistemas seguros de comunicaciones de emergencia.

Si necesitas asesoramiento sobre la NIS2 o cualquier otra solución del área de la ciberseguridad puedes ponerte en contacto con Grupo Pancorbo en el 941 20 33 77 o en el email info@grupopancorbo.com.