La Directiva NIS 2, o segunda Directiva sobre la Seguridad de las Redes y los Sistemas de Información, es una normativa de la Unión Europea que entrará en vigor próximamente.
Su objetivo es la mejora de la seguridad de los sistemas de información críticos, y para ello establece ciertos requisitos que deben cumplir las empresas que manejan datos críticos en Europa.
En esta nota te explicaremos detalladamente los 5 pilares de la Directiva NIS 2, qué entidades deben aplicarla y cómo cumplirla para evitar sanciones.
¿Qué es la Directiva NIS 2?
La Directiva NIS 2 es una propuesta de la Comisión Europea para reemplazar la Directiva de Seguridad de Redes e Información (NIS) existente. Esta propuesta tiene como objetivo fortalecer la ciberseguridad en toda la Unión Europea y aumentar la resiliencia de las infraestructuras críticas contra los ciberataques (Comisión Europea).
Los 5 pilares de NIS 2
La Directiva NIS 2 establece 5 pilares sobre los que debe basarse el cumplimiento de la normativa. Estos son:
- Identificación de los sistemas de información críticos: Es necesario identificar los sistemas de información críticos y su nivel de riesgo para establecer medidas preventivas adecuadas.
- Medidas preventivas: Las entidades afectadas por la normativa deberán establecer medidas preventivas adecuadas para garantizar la seguridad de sus sistemas de información críticos.
- Notificación de incidentes: Deberán notificarse los incidentes relacionados con la seguridad de los sistemas de información críticos a las autoridades competentes.
- Cooperación entre sectores: Se fomentará la cooperación entre las entidades afectadas por la normativa para garantizar una mejor seguridad en los sistemas de información críticos.
- Certificación: Las entidades deberán obtener una certificación acreditada para demostrar que cumplen con la normativa.
¿Qué entidades deben aplicar la Directiva NIS 2?
La Directiva NIS 2 se aplica a las entidades esenciales y las entidades importantes que manejen datos críticos.
En el caso de las entidades esenciales, la normativa establece que deberán aplicarla entidades en sectores críticos como energía, transporte, salud, banca e infraestructuras digitales.
En cuanto a las entidades importantes, éstas son aquellas que ofrecen servicios y productos digitales a escala europea y que tienen una gran repercusión social.
Supervisión en las entidades esenciales e importantes para NIS 2
Las entidades esenciales están sujetas a supervisiones específicas por parte de las autoridades competentes, mientras que las entidades importantes deberán demostrar que cumplen con los requisitos de la normativa. Ambas entidades deberán satisfacer igualmente las obligaciones de supervisión establecidas en la Directiva NIS 2.
La supervisión de estas entidades se basará en el riesgo, con las entidades esenciales sujetas a un nivel más alto de supervisión que las entidades importantes. Esto incluirá evaluaciones de seguridad regulares y la obligación de informar sobre los incidentes de seguridad.
Sanciones por el incumplimiento de la Directiva NIS 2
En caso de no cumplir con la Directiva NIS 2, las empresas pueden ser sancionadas con multas de hasta el 2% de su cifra de negocios anual o hasta 10 millones de euros. Asimismo, las autoridades competentes pueden publicar la lista de las entidades sancionadas.
NIS 2 introduce sanciones más duras por incumplimiento. Las sanciones se determinarán caso por caso, teniendo en cuenta factores como la naturaleza, la gravedad y la duración del incumplimiento.
Diferencia entre NIS 2 y SRI 2
Mientras que NIS 2 se centra en mejorar la ciberseguridad y la resiliencia de las infraestructuras críticas, la Directiva SRI 2 (Security of Radio Interface) se centra en la seguridad de las interfaces de radio en dispositivos móviles. SRI 2 establece requisitos para garantizar que los dispositivos móviles sean seguros y protejan la privacidad de los usuarios.
