La Directiva NIS 2, o segunda Directiva sobre la Seguridad de las Redes y los Sistemas de Información, es una normativa de la Unión Europea que entrará en vigor próximamente.
Su objetivo es la mejora de la seguridad de los sistemas de información críticos, y para ello establece ciertos requisitos que deben cumplir las empresas que manejan datos críticos en Europa.
En esta nota te explicaremos detalladamente los 5 pilares de la Directiva NIS 2, qué entidades deben aplicarla y cómo cumplirla para evitar sanciones.
La Directiva NIS 2 es una propuesta de la Comisión Europea para reemplazar la Directiva de Seguridad de Redes e Información (NIS) existente. Esta propuesta tiene como objetivo fortalecer la ciberseguridad en toda la Unión Europea y aumentar la resiliencia de las infraestructuras críticas contra los ciberataques (Comisión Europea).
La Directiva NIS 2 establece 5 pilares sobre los que debe basarse el cumplimiento de la normativa. Estos son:
La Directiva NIS 2 se aplica a las entidades esenciales y las entidades importantes que manejen datos críticos.
En el caso de las entidades esenciales, la normativa establece que deberán aplicarla entidades en sectores críticos como energía, transporte, salud, banca e infraestructuras digitales.
En cuanto a las entidades importantes, éstas son aquellas que ofrecen servicios y productos digitales a escala europea y que tienen una gran repercusión social.
Las entidades esenciales están sujetas a supervisiones específicas por parte de las autoridades competentes, mientras que las entidades importantes deberán demostrar que cumplen con los requisitos de la normativa. Ambas entidades deberán satisfacer igualmente las obligaciones de supervisión establecidas en la Directiva NIS 2.
La supervisión de estas entidades se basará en el riesgo, con las entidades esenciales sujetas a un nivel más alto de supervisión que las entidades importantes. Esto incluirá evaluaciones de seguridad regulares y la obligación de informar sobre los incidentes de seguridad.
En caso de no cumplir con la Directiva NIS 2, las empresas pueden ser sancionadas con multas de hasta el 2% de su cifra de negocios anual o hasta 10 millones de euros. Asimismo, las autoridades competentes pueden publicar la lista de las entidades sancionadas.
NIS 2 introduce sanciones más duras por incumplimiento. Las sanciones se determinarán caso por caso, teniendo en cuenta factores como la naturaleza, la gravedad y la duración del incumplimiento.
Mientras que NIS 2 se centra en mejorar la ciberseguridad y la resiliencia de las infraestructuras críticas, la Directiva SRI 2 (Security of Radio Interface) se centra en la seguridad de las interfaces de radio en dispositivos móviles. SRI 2 establece requisitos para garantizar que los dispositivos móviles sean seguros y protejan la privacidad de los usuarios.