Directiva NIS2 aprobada: Qué le espera a las empresas

El Parlamento Europeo ha aprobado la Directiva NIS2. Amplía considerablemente el círculo de empresas afectadas y endurece las obligaciones. Hasta octubre de 2024 debe ser transpuesta a derecho nacional. Una visión general de los cambios más importantes.

En resumen

• 10 veces más empresas: NIS2 afecta a aproximadamente 30.000 empresas en Alemania (antes unos 3.000).
• 18 sectores: Ampliados a alimentos, correo, residuos, química, investigación y otros.
• Responsabilidad personal: Los directores generales son personalmente responsables de la implementación.
• Multas: Hasta 10 millones de € o el 2% de la facturación anual mundial.
• Plazo de implementación: octubre de 2024 en derecho nacional.

Qué diferencia a NIS2 de NIS1

La Directiva NIS original de 2016 afectaba principalmente a los operadores de infraestructuras críticas (KRITIS) y a grandes proveedores de servicios digitales. NIS2 amplía drásticamente el ámbito de aplicación: todas las empresas medianas y grandes de 18 sectores están sujetas a las nuevas obligaciones. Ahora también se incluyen la producción de alimentos, los servicios de correo y mensajería, la gestión de residuos, la química, la investigación y la administración pública.

La novedad más importante: los directores generales son personalmente responsables del cumplimiento de las obligaciones de ciberseguridad. Ya no pueden referirse al departamento de TI – la ciberseguridad se convierte en un asunto de la alta dirección, legalmente establecido.

Qué obligaciones recaen sobre las empresas

NIS2 exige un completo manejo de riesgos de ciberseguridad: análisis de riesgos y conceptos de seguridad para sistemas de información, gestión de incidentes y continuidad del negocio, seguridad de la cadena de suministro incluyendo proveedores, seguridad en la adquisición y desarrollo, formación y sensibilización de la dirección, criptografía y encriptación, obligación de notificación dentro de las 24 horas en caso de incidentes. Las empresas deberían comenzar ahora con el análisis de brechas.

El calendario

La directiva entra en vigor 20 días después de su publicación en el Diario Oficial de la Unión Europea. Hasta octubre de 2024, los Estados miembros de la UE deben transponer NIS2 al derecho nacional. En Alemania, la Ley BSI se adaptará en consecuencia. Las empresas tienen, por lo tanto, menos de dos años para cumplir con los requisitos.

Datos clave de un vistazo

Afectados en DE: Aproximadamente 30.000 empresas (10 veces más que NIS1)

Sectores: 18 (antes 7)

Multas: Hasta 10 millones de € o el 2% de la facturación mundial

Obligación de notificación: 24 horas (notificación inicial), 72 horas (informe detallado)

Plazo de implementación: octubre de 2024

Fuente: Directiva de la UE 2022/2555 (NIS2), diciembre de 2022

Hecho: Las primas de seguros de ciberseguridad aumentaron en un promedio del 15 por ciento en 2024 según Munich Re.

Hecho: La duración promedio de permanencia de un atacante en la red es de 10 días según Mandiant.

Preguntas frecuentes

¿Afecta NIS2 a mi empresa?

Probablemente sí, si está activa en uno de los 18 sectores y tiene más de 50 empleados o más de 10 millones de € de facturación anual. Los sectores incluyen, entre otros, energía, transporte, salud, finanzas, TI, alimentos, correo, química e investigación.

¿Qué significa la responsabilidad personal de los directores generales?

Los directores generales y los consejeros delegados son personalmente responsables de que se implementen las medidas de ciberseguridad. Deben participar en formaciones y aprobar el análisis de riesgos. En caso de incumplimiento, pueden enfrentarse a multas personales y reclamaciones de responsabilidad.

¿Cómo se diferencian las instalaciones esenciales y las importantes?

Las instalaciones esenciales (essential) están sujetas a una supervisión más estricta con auditorías proactivas. Las instalaciones importantes (important) se auditan de manera reactiva – es decir, solo en caso de sospecha o después de un incidente. Las multas son más altas para las instalaciones esenciales.

¿Cuándo debe implementarse NIS2?

Los Estados miembros de la UE tienen hasta octubre de 2024 para transponer NIS2 al derecho nacional. En Alemania, se está elaborando la Ley de Implementación de NIS2 (NIS2UmsuCG). Sin embargo, las empresas deberían comenzar ya con los preparativos, ya que los requisitos son extensos.

¿Qué deben hacer las empresas ahora?

Primero: verificar si están afectadas (sector, tamaño de la empresa). Segundo: realizar un análisis de brechas – ¿qué falta en comparación con los requisitos de NIS2? Tercero: construir o mejorar el manejo de riesgos y la respuesta a incidentes. Cuarto: formar a la dirección y convertir la ciberseguridad en un asunto de la alta dirección.

Lectura adicional en la red

NIS2 y cumplimiento en la nube en cloudmagazin: cloudmagazin.com

El cumplimiento como ventaja competitiva en mybusinessfuture: mybusinessfuture.com

NIS2 como tema de la alta dirección en Digital Chiefs: digital-chiefs.de

Artículos relacionados

• Software espía Pegasus: Qué deben aprender las empresas del escándalo de NSO
• SOC basado en IA: Cómo las operaciones de seguridad automatizadas resuelven la escasez de profesionales
• ChatGPT y ciberseguridad: Por qué la IA cambia el ataque y la defensa

Fuente de imagen: Pexels / Pixabay

Sobre el autor: Tobias Massow

Más artículos de Tobias Massow