En un mundo en constante evolución en el sector de la ciberseguridad, las organizaciones necesitan de normativas para poder garantizar la seguridad en los sistemas de información digitales.
La UE ha legislado una nueva normativa para poder impulsar la ciberseguridad en todos los estados miembros de la Unión Europea y mejorar la resistencia y la capacidad de respuesta antes posibles ataques e incidentes.
Las siglas NIS, significan Seguridad de las redes y la información. Este es un decreto que se publicó en 2016 (el NIS I) con el objetivo de garantizar un nivel de seguridad elevado y común para las redes y sistemas de la Unión europea.
Ahora con el NIS2, esta legislación se extiende a sectores dependiente de las TIC, como es el caso de la energía, transporte, agua, banca, infraestructuras financieras, sanidad e infraestructuras digitales.
Table of Contents
Toggle¿Por qué es necesario el NIS2?
El NIS2 pretende corregir los puntos débiles del primer NIS aprobado en 2016:
- Falta de exhaustividad en la definición de las empresas europeas de referencia debido a las diferentes interpretaciones de la directiva por parte d ellos estados miembros.
- Falta de coordinación a escala europea para la gestión de la crisis
- Sanciones dispares o inexistentes entre os estados miembros.
¿Qué diferencias hay entre NIS y NIS2?
La primera diferencia es el campo de aplicación como hemos nombrado anteriormente, detallando a continuación este campo:
- Los términos “Operador de servicios esenciales” (OES) y de “Proveedores de servicios digitales” (DSP), han sido sustituidos por “Entidades esenciales” (EE) y “Entidades importantes” (EI)
- Permite armonizar y ampliar los sectores de actividad afectados, que pasan de 19 a 35.
- Los subcontratistas y proveedores de servicios encargados de infraestructuras críticas también estarán sujetos a la directiva NIS2.
- Los estados miembros podrás designar sus propias EA o EI
La segunda diferencia es la Coordinación Europea :se intentará reforzar el papel de los CSIRT y exigir a los Estados miembros que notifiquen los incidentes que puedan causar daños operativos o financieros significativos.
La tercera diferencia junto al primer NIS, es la normalización de las sanciones, ya que suele haber disparidad de sanciones o en algunos casos inexistente entre los propios estados miembros.
Habrá requisitos de seguridad más estrictos:
- Respuesta a incidentes y gestión de crisis
- Tratamiento y divulgación de vulnerabilidades
- Seguridad de la cadena de suministro
- Políticas y procedimientos para evaluar la eficacia de la gestión de riesgos de ciberseguridad
- Prácticas básicas de seguridad y formación en ciberseguridad
- Uso adecuado del cifrado
- Seguridad de los recursos humanos, políticas de control de acceso y gestión de activos.
¿Cuándo entrará en vigor el NIS2?
La directiva NIS ha sido adoptada por la Unión europea el 10 de noviembre de 2022 y los estados miembros disponen de 21 meses para incorporarla a su legislación, con lo que la aplicación estimada es a mediados del 2024
¿Qué puede ocurrir sino implemento la NIS2?
En caso de no implementación de la NIS”, la directiva prevé medidas coercitivas para garantizar el cumplimiento tras una auditoria.
Las multas pueden alcanzar los 10 millones de euros o el 2% del volumen de negocios de la organización. Para los proveedores de servicios y subcontratistas, esto puede significar la pérdida de facturación y contratos.
¿Cómo puede ayudarte Asnet?
Como sabes, en Asnet siempre estamos a la vanguardia en cuando a seguridad e implementación de normativas aprobadas por la UE, por lo que si estás interesado en aplicarla a tu empresa o negocio, habla con nosotros y te ayudaremos en todo el proceso.