La Directiva NIS 2 marca un antes y un después en la regulación de la ciberseguridad en Europa. A diferencia de su antecesora (la Directiva NIS de 2016), esta nueva normativa amplía el número de sectores obligados, endurece los requisitos de gestión de riesgos y otorga a las autoridades reguladoras herramientas más eficaces para imponer sanciones.
Una de las claves para el cumplimiento de NIS 2 radica en cómo las organizaciones gestionan todo el ciclo de vida de la información, incluyendo la destrucción de datos sensibles de forma segura, conforme a estándares reconocidos como el NIST SP 800-88.
La Directiva (UE) 2022/2555, conocida como NIS 2, es la revisión de la primera Directiva sobre Seguridad de las Redes y Sistemas de Información (NIS).
Tiene como objetivo establecer un nivel elevado común de ciberseguridad en toda la Unión Europea, reduciendo la fragmentación normativa y aumentando la resiliencia digital en sectores esenciales y estratégicos.
Esta directiva fue adoptada en diciembre de 2022 y debe ser traspuesta por los Estados miembros de la UE a sus legislaciones nacionales antes del 17 de octubre de 2024.
La Directiva NIS 2 aplica a dos categorías de entidades:
Incluyen operadores en sectores como:
Incluyen empresas que, sin ser críticas, desempeñan funciones relevantes en la cadena de suministro digital:
Cualquier organización que cumpla ciertos umbrales de tamaño, actividad o criticidad deberá cumplir con la NIS 2, incluso si ya cumple otras normativas como GDPR o ISO 27001.
NIS 2 no es una guía de buenas prácticas; es una norma exigible. Estas son algunas de las obligaciones clave:
La alta dirección debe involucrarse activamente en la estrategia de ciberseguridad. Se exige que:
Se deben implementar medidas adecuadas para prevenir y mitigar incidentes, incluyendo:
Las empresas deben notificar a las autoridades competentes:
Se deben mantener registros de auditorías, evaluaciones de riesgo, controles implementados y políticas internas. Las autoridades nacionales tendrán facultades para:
La NIS 2 exige proteger no solo la disponibilidad e integridad de los sistemas, sino también la confidencialidad y el tratamiento adecuado de la información, incluyendo su eliminación cuando ya no sea necesaria.
El borrado seguro es clave para:
Estas técnicas deben ir acompañadas de documentación y verificación, como certificados de destrucción o reportes generados por herramientas como el software de Blancco.
Cumplir con NIS 2 implica demostrar coherencia entre normativas, especialmente en procesos críticos como la destrucción de datos.
NIS 2 prevé sanciones severas, incluyendo:
Incluso el incumplimiento de medidas preventivas (como no tener un protocolo de eliminación de datos) puede ser sancionado, aunque no haya ocurrido un ciberataque.
La fecha límite de trasposición es el 17 de octubre de 2024. Sin embargo, es recomendable empezar desde ahora a implementar medidas, especialmente si ya cumples con ISO 27001 o GDPR.
Solo si operan en sectores críticos o cumplen ciertos umbrales. Aun así, las PYMES tecnológicas pueden ser auditadas si forman parte de la cadena de suministro digital de una entidad obligada.
No lo exige literalmente, pero sí establece que los datos deben eliminarse de forma que no puedan ser recuperados. El uso de herramientas compatibles con NIST 800-88 es una de las formas más efectivas de cumplir con este requisito.
Sí, siempre que el proveedor esté certificado, documente el proceso y proporcione trazabilidad completa del servicio prestado.
En Delete Technology contamos con soluciones tecnológicas y servicios que facilitan el borrado seguro y certificado de información. Ponte en contacto con nosotros si tu industria requiere de nuestra experiencia.
Síguenos en nuestras redes sociales