La Directiva de Seguridad de la Red y la Información (NIS) fue una iniciativa liderada por la UE que tenía como objetivo alcanzar un nivel común de ciberseguridad en los Estados miembros. Si bien aumentó las capacidades de ciberseguridad, la implementación resultó desafiante, lo que llevó a una fragmentación en el mercado. Para abordar las crecientes amenazas de la digitalización y los ciberataques, la Comisión propuso reemplazar la Directiva NIS con NIS2, que fortalece los requisitos de seguridad, aborda la seguridad de la cadena de suministro, agiliza los informes e introduce medidas de supervisión y aplicación más estrictas, incluidas sanciones armonizadas en toda la UE. NIS2 amplía el alcance de las entidades que están sujetas a la Directiva, abarcando a muchas organizaciones que no estaban obligadas a cumplir con la Directiva NIS original.
La nueva legislación entró en vigor el 16 de enero de 2023, y los Estados miembros tienen hasta el 17 de octubre de 2024 para transponer sus medidas a la legislación nacional, y el incumplimiento podría conllevar multas significativas. En el Reino Unido, las empresas podrían ser multadas con hasta £17 millones; en la UE, las entidades "esenciales" se enfrentan a sanciones de hasta €10 millones, o el 2% de su facturación total a nivel mundial.
Sectores afectados
El alcance existente de NIS se ampliará significativamente en la UE, con organizaciones de varios nuevos sectores considerados "esenciales". Estos sectores incluyen el espacio, aguas residuales, administraciones públicas (se pueden aplicar excepciones), proveedores de servicios de centros de datos, proveedores de servicios de confianza, redes de entrega de contenido y redes y servicios de comunicaciones electrónicas públicas. Otros sectores, como los servicios postales, productos químicos y fabricación de productos clave, también deberán cumplir con los requisitos como entidades "importantes". Sin embargo, estarán sujetos a una supervisión regulatoria menor que aquellos clasificados como "esenciales".
¿Qué sucede ahora?
Los Estados miembros tienen hasta el 17 de octubre de 2024 para tomar las medidas apropiadas y garantizar el cumplimiento de los requisitos de NIS2. Las empresas deben aprovechar este tiempo para comprender cómo les afectará la nueva directiva y qué pasos deben seguir para demostrar el cumplimiento.
Es importante tener en cuenta que, según el Artículo 24 de la Directiva NIS2, los Estados miembros también tienen la opción de exigir la certificación de productos, servicios y procesos de TIC para entidades esenciales o importantes dentro de los esquemas europeos de ciberseguridad. Dependiendo de la categoría de su negocio, la certificación según estándares específicos como ISO 27001 y CSA STAR podría volverse obligatoria. Por lo tanto, es crucial comprender cómo cada Estado miembro aplica la directiva, ya que puede haber variaciones en diferentes territorios.
Asociarse con LRQA
Con nuestra cartera de soluciones avanzadas de ciberseguridad conectadas, nos dedicamos a ayudarlo a cumplir con los requisitos de NIS2.
Ofrecemos una amplia gama de servicios de evaluación conforme a los principales estándares internacionales, incluido ISO 27001, complementados con una cartera de soluciones avanzadas de ciberseguridad brindadas por nuestros especialistas, LRQA Nettitude. Podemos certificar sus sistemas, abordar vulnerabilidades y ayudar a prevenir ataques e incidentes, apoyando su camino hacia el cumplimiento de NIS2 con una profunda comprensión técnica y experiencia.
Obtenga más información sobre nuestros servicios de Seguridad de la Información
CASOS DE INTERÉS
Con quiénes trabajamos
Ayudamos a las empresas de decenas de sectores a seguir adelante y alcanzar logros como nunca antes. ¿En qué podemos ayudarle?
