El proveedor de servicios de TI, Logicalis, ha emitido una advertencia crucial respecto a la nueva directiva europea sobre redes y sistemas de información, conocida como NIS2. Esta directiva, diseñada por la Unión Europea, entrará en vigor el próximo 17 de octubre y busca reforzar la ciberseguridad de los sistemas y redes dentro de sectores considerados esenciales y estratégicos para el funcionamiento de la sociedad.
A pesar de la importancia de esta normativa, un gran número de empresas en España desconoce tanto su existencia como las obligaciones que trae consigo. Esta falta de preparación podría traducirse en sanciones económicas considerables para aquellas empresas que no se adapten a las exigencias en tiempo y forma.
Impacto y alcance de la directiva NIS2
La directiva NIS2 reemplaza a la primera directiva NIS (Network and Information Systems) aprobada en 2016, ampliando significativamente su alcance. Mientras que la versión original se enfocaba en sectores críticos como la energía, transporte y salud, la NIS2 incluye un abanico mucho más amplio de industrias. Ahora, cerca de 100.000 empresas en Europa, clasificadas como esenciales e importantes, se verán afectadas por esta regulación. Los sectores cubiertos incluyen desde la banca y las telecomunicaciones hasta los servicios digitales y el suministro de agua, entre otros.
Jesús Sánchez, de Áudea, detalla que NIS2 obligará a las empresas a adoptar nuevas medidas de ciberseguridad, pero también a reorganizar su gobernanza. Entre las obligaciones más destacadas está la responsabilidad directa de la alta dirección en la supervisión de las políticas de ciberseguridad. Esto significa que los ejecutivos tendrán que estar plenamente involucrados en la gestión de riesgos y responder ante posibles fallos en los sistemas, lo que no solo añade un componente técnico, sino también uno de responsabilidad corporativa.
Sanciones por incumplimiento: multas de hasta 10 millones de euros
Una de las cuestiones más alarmantes para las empresas que aún no se han preparado para la directiva NIS2 son las sanciones que pueden enfrentar en caso de incumplimiento. Las multas pueden alcanzar los 10 millones de euros o, en su defecto, el 2% del volumen de negocio global anual, lo que representa un golpe significativo, especialmente para aquellas empresas de gran tamaño. La implementación de medidas de ciberseguridad no será opcional: quienes no cumplan estarán expuestos a sanciones económicas y, posiblemente, a pérdida de confianza de sus clientes y socios comerciales.
La directiva establece que el incumplimiento no se refiere únicamente a la falta de implementación de soluciones técnicas, sino también a la negligencia en la gestión de incidentes o la falta de formación adecuada del personal.
Además, la normativa exige la divulgación de cualquier vulnerabilidad que se detecte en los sistemas, así como la creación de planes de concienciación y formación para todos los empleados. Estas acciones buscan garantizar que la seguridad cibernética no dependa exclusivamente de soluciones tecnológicas, sino también de una cultura organizacional que entienda la importancia de proteger los datos y los sistemas.
Requisitos clave para las empresas bajo la directiva NIS2
La directiva NIS2 impone una serie de requisitos técnicos y organizativos que las empresas deberán cumplir para asegurar la seguridad de sus redes y sistemas. Algunas de las exigencias más destacadas incluyen:
- Autenticación multifactor (MFA): Se exigirá la implementación de métodos avanzados de autenticación para asegurar que solo las personas autorizadas puedan acceder a los sistemas críticos. Esta medida es fundamental para evitar que intrusos accedan a los sistemas a través de credenciales robadas o débiles.
- Controles de acceso estrictos: Las empresas deberán implementar políticas de control de acceso que aseguren que únicamente el personal autorizado tenga acceso a determinados sistemas o información. Esto también incluye la necesidad de revisar regularmente los permisos de acceso y asegurarse de que se alineen con las funciones actuales de los empleados.
- Sistemas de detección de amenazas: Será obligatorio implementar soluciones que permitan detectar y responder a amenazas en tiempo real, minimizando así el impacto de los ciberataques. Estos sistemas no solo identifican amenazas externas, sino también anomalías dentro de la propia red.
- Planes de continuidad de negocio: Las empresas deberán contar con planes sólidos que les permitan mantener sus operaciones en caso de sufrir un ciberataque. Esto incluye estrategias para mitigar el impacto de los incidentes y restaurar los sistemas rápidamente.
- Protección de la cadena de suministro: Dado que muchas empresas dependen de proveedores externos, la directiva también enfatiza la necesidad de garantizar que estos terceros cuenten con medidas de seguridad adecuadas. Las vulnerabilidades en la cadena de suministro pueden representar un riesgo para las empresas, por lo que es imprescindible revisar los acuerdos y las prácticas de los proveedores.
Notificación de incidentes: un plazo de 24 horas para los más graves
Uno de los cambios más significativos que introduce la directiva NIS2 es el establecimiento de plazos estrictos para la notificación de incidentes de seguridad. Los incidentes más graves deberán ser reportados a las autoridades competentes en un plazo máximo de 24 horas desde su detección, mientras que los incidentes menos críticos contarán con un margen de 72 horas. Esto implica que las empresas tendrán que desarrollar protocolos y procedimientos muy claros para identificar, evaluar y reportar cualquier tipo de incidente en el menor tiempo posible.
El cumplimiento de este requisito será fundamental no solo para evitar sanciones, sino también para minimizar el impacto que los incidentes de seguridad puedan tener en los clientes y las operaciones de la empresa. Además, la directiva establece que los estados miembros de la Unión Europea deberán designar a las autoridades responsables de recibir estas notificaciones y gestionar las crisis a gran escala, facilitando así la creación de una base de datos europea de vulnerabilidades.
La importancia de una estrategia proactiva de ciberseguridad
Logicalis ha subrayado que, para enfrentar de manera efectiva los desafíos de la directiva NIS2, es crucial que las empresas adopten una postura proactiva en lugar de reactiva. Esto implica no solo cumplir con los requisitos mínimos de la normativa, sino también anticiparse a los posibles riesgos y vulnerabilidades. Jesús Sánchez recalca que el éxito en la implementación de NIS2 depende de un análisis detallado de la situación actual de cada empresa y la definición de un plan de acción adaptado a sus necesidades específicas.
Las empresas deben comenzar por realizar una evaluación exhaustiva de sus sistemas de ciberseguridad y detectar posibles puntos débiles. Una vez identificados los riesgos, se podrán definir los procedimientos necesarios para fortalecer su postura ante los ciberataques. Esto no solo mejorará su seguridad, sino que también les permitirá cumplir con las exigencias de NIS2 de manera efectiva.
La respuesta de Logicalis ante la directiva NIS2
Logicalis cuenta con un equipo especializado preparado para asistir a las empresas en su transición hacia el cumplimiento de la directiva NIS2. Desde la implementación de autenticación multifactor hasta la instalación de sistemas avanzados de detección de amenazas, la compañía ofrece un paquete completo de servicios para asegurar que las organizaciones puedan cumplir con los requisitos de la normativa.
La entrada en vigor de la directiva NIS2 plantea un reto significativo para las empresas europeas, pero también una oportunidad para modernizar sus sistemas de seguridad y adaptarse a un entorno cada vez más digitalizado y vulnerable. La ciberseguridad ha dejado de ser una opción y se ha convertido en una necesidad crítica para garantizar la continuidad y el éxito de las organizaciones en el futuro.
