El 18 de octubre de 2024 será el primer día de aplicación de NIS 2, la evolución de NIS, en todos los Estados miembros. Te contamos las novedades presentes en la normativa, los nuevos sectores afectados y cómo la tecnología puede ayudarte en su cumplimiento.

NIS 2 está a punto de su aplicación real. ¿Está tu empresa preparada?

Introducción

La actualización de la Directiva sobre Seguridad de las Redes y los Sistemas Informáticos, denominada NIS 2, está a punto de ser efectiva. Esta evaluación se aprobó en noviembre de 2022 y se publicó en el Diario Oficial de la UE el 27 de diciembre del mismo año. Se dispuso que los Estados tendrían que adoptar las medidas necesarias para su implementación como muy tarde el 17 de octubre de 2024.

Qué es NIS 2 y cuál es su objetivo

CiberseguridadNIS es una directiva de la UE y aplicable a los Estados miembros que nació para ofrecer un marco armonizado en lo que se refiere a fomentar medidas para la ciberseguridad. En NIS se identificaron una serie de sectores críticos cuyas organizaciones, entidades y empresas tenían que cumplir con lo dispuesto en el texto.

Al igual que ha ocurrido con otras directivas y reglamentos, la UE ha evolucionado la norma para adaptarse a los nuevos tiempos y situaciones. Así, NIS 2 amplía las áreas de aplicación y exige la implementación de medidas más sólidas y sofisticadas para reducir el número de ciberataques, y su gravedad, que se producen tanto en los ámbitos privados como públicos. De su aplicación derivarán también optimización de evaluaciones de riegos y de auditorías internas y externas y, por tanto, especialización en las organizaciones o en sus partners. También se pretende fomentar la colaboración en la industria.

¿Está normativa afecta a mi empresa?

Con NIS 2 se amplía el ámbito de aplicación de la normativa, que llega hasta 18 sectores divididos de la siguiente manera:

  • Alta criticidad: energía, banca, infraestructuras de mercados financieros, sector sanitario, transporte, infraestructura digital, aguas potables, aguas residuales, administración pública, gestión de servicios TIC y espacio.
  • Otros sectores críticos: investigación, química, alimentación, servicios postales, proveedores digitales, fabricación y gestión de residuos.

Además, divide a las entidades en 2 tipos:

  • Esenciales: las que trabajen en los sectores de alta criticidad y otro tipo de organizaciones como, por ejemplo, los prestadores cualificados de servicios de confianza, como somos en Grupo MailComms.
  • Entidades importantes: aquellas organizaciones que pertenezcan a los sectores identificados, pero que no puedan considerarse entidades esenciales.

Además, si atendemos al tamaño de las empresas, estarían especialmente afectadas las medianas y grandes:

  • Mediana empresa: empresa que ocupa entre 50 y 250 personas y cuyo volumen de negocios anual no excede de 50 millones de euros o cuyo balance general anual no excede de 43 millones de euros.
  • Gran empresa: empresa que ocupa más de 250 personas y cuyo volumen de negocios anual o cuyo balance general anual sea superior a 43 millones de euros.

Pero también hay una serie de pymes que tienen que adecuarse a la norma. Son aquellas incluidas en los sectores indicados y que cumplan con algunas características que puedes conocer aquí.

Principales novedades de esta actualización

Este documento del Centro Criptológico Nacional resume de manera muy clara los principales aspectos que hay que tener en cuenta en relación con la evolución NIS 2.

Entre las novedades, refleja tres conjuntos en los que se pueden incluir:

  • Seguridad de la cadena de suministro.
  • Relación con proveedores.
  • Responsabilidad de la alta dirección por incumplimiento de las obligaciones.

Nuestra aportación positiva en estas tres categorías es claramente identificable. Tal y como resume nuestra CISO Sonia Lasheras, “como prestadores de servicios de confianza cualificado que somos, estamos obligados a cumplir con esta directiva y podemos afirmar que estamos preparados. Y, además, al estar en posesión de la certificación del Esquema Nacional de Seguridad, en su nivel alto, podemos acreditar que cumplimos con la Directiva NIS 2. En definitiva, garantizamos a nuestros clientes que nuestros servicios cumplen con los requisitos necesarios para formar parte de su cadena de suministro”.

Como proveedores, en Grupo MailComms participamos de manera activa en la cadena de suministro de las empresas con las que trabajamos y de esta manera llevamos parte o la totalidad de nuestro cumplimiento a la actividad de nuestros clientes. Así, además de evitar sanciones y ofrecer un mejor servicio (a través de la adecuación a las novedades de NIS 2), también contribuimos a la protección de las personas que forman parte de la alta dirección de las empresas, cuya responsabilidad se indica muy directamente en el nuevo texto.

El documento resumen del CCN también explica cómo las entidades que cuentan con el certificado ENS en su nivel alto cumplen automáticamente con NIS 2. Y este, es nuestro caso.

Esta evolución introduce además novedades en lo relativo a la notificación obligatoria de incidentes a la autoridad competente en cada Estado miembro, cuando estos incidentes se pueden considerar significativos. Es decir, cuando han provocado o puedan provocar daños operativos o financieros graves o puedan afectar a otras personas físicas o jurídicas. La evolución de la directiva prevé el siguiente esquema de notificaciones:

  • Notificación inicial: durante las 24 horas posteriores al incidente.
  • Notificación intermedia: actualización y evaluación del incidente durante las 72 horas posteriores a su detección.
  • Notificación final: informe final que incluya datos acerca de su gravedad, impacto y medidas aplicadas o en curso. Se tiene que presentar como máximo un mes después del incidente.

La tecnología como aliada

En Grupo MailComms ofrecemos una serie de aplicaciones y soluciones tecnológicas de desarrollo propio, y también otras de partners de confianza, de alto valor tanto por su funcionalidad como por su capacidad de garantizar el cumplimiento normativo. A nuestra propuesta tecnológica le sumamos nuestra condición de prestador cualificado de servicios de confianza, acreditada por el Ministerio para la Transformación Digital y de la Función Pública, para extremar nuestra utilidad a la hora de diseñar, implementar y supervisar la aplicación de una estrategia de ciberseguridad efectiva, alineada con lo establecido por NIS 2 y otras normativas.

CiberseguridadComo explicamos en este artículo publicado recientemente en nuestro blog, nuestra aportación como especialistas y como proveedores tecnológicos se puede resumir en términos como responsabilidad (la ciberseguridad es cosa de todos: compañías, empresas clientes, proveedores, usuarios finales…), confianza y agilidad. Este último concepto se entiende desde la rapidez para adecuar nuestras soluciones a los cambios normativos como para hacerlas sólidas ante los avances de los ciberdelincuentes.

Contar con un prestador cualificado como Grupo MailComms te ayudará a trabajar bajo altos estándares de seguridad informática y seguridad y privacidad de la información. Esto se reflejará de muchas maneras en tu día a día y en tu cuenta de resultados. Te ayudará a ofrecer un mejor servicio a tus clientes (nuevas contrataciones, fidelización, baja tasa de abandono…), evitará ciberriesgos y costes asociados y te permitirá cumplir con normativas como NIS 2, lo que te aleja de las sanciones previstas en el texto, que pueden llegar a 10 millones de euros o el 2 % de la cifra de negocio anual en los casos más graves.

Sonia Lasheras Firma

Sonia Lasheras

Directora de Sistemas y Seguridad

CISO de Grupo MailComms. Responsable de la estrategia de ciberseguridad del grupo.

Si buscas incorporar un proveedor que te aporte tranquilidad y seguridad a la hora comunicar con tus clientes aquí nos tienes.

Por favor, déjanos tus datos en este formulario y contactaremos contigo para explicártelo aplicado a tu caso particular.

    Nombre*

    Apellidos*

    Email de empresa*

    Teléfono