En agosto de 2017, se implementó la Directiva NIS, una legislación que, en respuesta a los avances tecnológicos y las nuevas amenazas de ciberseguridad en la Unión Europea, estableció un marco común de actuación para todos los Estados miembros.
Su objetivo principal es mejorar las medidas destinadas a garantizar un adecuado nivel común de ciberseguridad, ampliando el número de empresas las cuales quedan afectadas por esta Directiva. Se estima que al menos afectará a más de 100.000 empresas en toda la Unión Europea.
¿Cuándo entra en vigor la Directiva NIS 2?
Entrará en vigor a partir del 18 de octubre de 2024, sustituyendo a la anterior.
La Directiva viene a clasificar a las empresas en dos categorías diferenciadas: entidades esenciales y entidades importantes. A su vez, la aplicación de la Directiva difiere en función del tamaño de las empresas y los sectores.
¿Qué considera entidades esenciales la directiva NIS 2?
- Energía
- Transporte
- Banca
- Infraestructuras de los mercados financieros
- Sector sanitario
- Agua potable
- Aguas residuales
- Infraestructura digital
- Gestión de servicios TIC (B2B)
- Administración pública
- Espacio
Estos sectores serán esenciales si son compañías de más de 250 empleados o presentan ingresos superiores a 50 millones de euros. En caso contrario, se entenderán entidades importantes.
¿Qué se considera entidad importante?
- Servicios postales y de mensajería
- Gestión de residuos
- Fabricación, producción y distribución de químicos
- Producción, transformación y distribución de alimentos
- Fabricación
- Proveedores de servicios digitales
- Investigación
Estos sectores serán considerados entidades importantes si tienen más de 50 empleados o si sus ingresos superan los 10 millones de euros.
¿Qué supone la Directiva en las empresas?
1) Responsabilidades de los órganos de dirección respecto a la implementación de medidas de seguridad y ciberseguridad.
2) Incremento del protagonismo de la formación en materia de ciberseguridad tanto en órgano de dirección como a los empleados.
3) Implementación de medidas de ciberseguridad frente a posibles riesgos.
4) Implementación no solo de medidas técnicas, sino también organizativas y operativas.
5) Prestar atención a los riesgos relacionados con proveedores o prestadores de servicios directos, incrementando la seguridad de la cadena de suministros.
6) En el caso de incidente significativo, proceder a notificarlo.
7) La Directiva da la posibilidad de que los Estados Miembros exijan a las empresas que utilicen productos o servicios de TIC que estén certificados.
Sanciones y multas de la Directiva
Las sanciones y las multas aplicables a las empresas dependerán del tipo de entidad:
- Entidad esencial: multas de hasta 10 millones de euros o un máximo del 2% de la facturación anual total a nivel global.
- Entidad importante: multas de hasta 7 millones de euros o un máximo del 1,4% de la facturación anual total a nivel global.
¿Si estamos certificados en ISO 27001, cumplimos con la Directiva?
La NIS 2 no exige la implementación de la norma ISO 27001 para su cumplimiento. Sin embargo, proporciona una excelente base con la que poder cumplir con aquellas medidas que venga a imponer la NIS 2 y su transposición a la normativa nacional.
Integra es una consultora tecnológica con mucha experiencia en implantación de soluciones tecnológicas. Si necesitas más información, no dudes en contactar con nosotros, nuestros especialistas pueden ayudarte.