Nueva Ley de Ciberseguridad – NIS2
La nueva Ley de Ciberseguridad deberá estar aprobada a más tardar el 17 de octubre de 2024, en España y en todos los Estados miembros de la Unión Europea, según establece el artículo 41 de la Directiva Europea 2022/2555, más conocida como NIS2, que adoptarán y publicarán las medidas necesarias para dar cumplimiento a lo establecido en dicha Directiva.
Posteriormente a esa fecha, y cada 36 meses, la Comisión revisará el funcionamiento de esta Directiva e informará al Parlamento Europeo y al Consejo.
¿Qué es la NIS2?
La NIS2 es una Directiva que establece las medidas necesarias para que exista un nivel común de ciberseguridad en todos los Estados miembros de la UE y por tanto una Ley de Ciberseguridad nacional.
Anterior a esta Directiva, en 2016, la Comisión aprobó la Directiva NIS como la primera Ley de ciberseguridad de la UE, misma que también estaba destinada a mejorar la resiliencia de las redes y los sistemas de información europeos frente a los múltiples riesgos de sufrir ataques de ciberseguridad.
Sin embargo, la pandemia en 2020 provocó que el uso de las tecnologías sufriera un aumento inconmensurable, de manera tal que el control sobre las mismas en muchas ocasiones fue difícil, provocando el aumento de exposición a amenazas y los riesgos que ello conlleva.
Puntos clave de la futura Ley de Ciberseguridad
Los puntos clave que identificamos de esta nueva Directiva son los siguientes:
1.- Exigencia a los Estados miembros para adoptar una estrategia nacional de ciberseguridad.
Para ello se aplicarán las siguientes acciones:
–Designarán equipos nacionales de respuesta a incidentes de seguridad informática (CSIRT)
–Creación de una autoridad nacional competente en materia de ciberseguridad
–Creación de un punto único de contacto, denominado SPOC. Su función será ser el enlace para garantizar la cooperación entre las distintas autoridades de ciberseguridad de los Estados miembros, así como la cooperación con otras autoridades.
–Creación de un Grupo de Cooperación estratégica y de intercambio de información entre los Estados miembros y la Red de CSIRT.
2.- Adopción de medidas de seguridad en sectores esenciales
Es necesaria la adopción de medidas de seguridad en sectores clasificados como “esenciales” e “importantes”, entre las cuales se incluyen las entidades identificadas como críticas, según la actividad que desarrollan en diferentes sectores, como por ejemplo, energía, transporte, banca, mercados financieros, sanidad, agua potable y aguas residuales, infraestructura digital, gestión de servicios TIC de empresa a empresa, Administración Pública, espacio, servicios postales y mensajería, gestión de residuos, fabricación y producción de sustancias químicas, producción y transformación de alimentos, fabricación de productos sanitarios, informáticos, electrónicos, ópticos, eléctricos, proveedores de servicios digitales e investigación.
3.- Compañías digitales
Los proveedores de servicios digitales, como motores de búsqueda, computación en la nube y mercados en línea, también deberán adoptar las medidas de seguridad pertinentes para dar cumplimiento a la Directiva.
4.- Notificación de brechas de seguridad
De la misma forma que en el RGPD se exige la notificación de brechas de seguridad en materia de protección de datos, el NIS2 obligará a notificar a la autoridad pertinente los incidentes graves de ciberseguridad.
¿A quién aplica la NIS2?
Existen dos criterios para determinar su ámbito de aplicación:
1.- Tamaño de la empresa
Esta Directiva aplica a las grandes y medianas empresas, ya sean del sector público o privado, según lo señalado en el art. 2 del Anexo de la Recomendación 2003/361/CE.
Por tanto, no les aplicará a las empresas que ocupen a menos de 250 personas y cuyo volumen de negocios anual no exceda de 50 millones de euros o cuyo balance general anual no exceda de 43 millones de euros.
2.- Independientemente del tamaño, según su actividad:
2.1.- La Administración Pública
2.2.- Entidades que presten servicios de registro de nombres de dominio.
2.3.- Entidades relacionadas con los sectores mencionados anteriormente (esenciales e importantes) cuando:
–los servicios son prestados por proveedores de redes públicas de comunicaciones electrónicas o servicios de comunicaciones electrónicas disponibles para el público;
–prestadores de servicios de confianza; registros de nombres de dominio de primer nivel y proveedores de servicios de sistema de nombres de dominio;
–la entidad sea el único proveedor en un Estado miembro de un servicio esencial para el mantenimiento de actividades sociales o económicas críticas;
–una perturbación del servicio prestado por la entidad pudiera tener repercusiones significativas sobre la seguridad pública, el orden público o la salud pública;
–una perturbación del servicio prestado por la entidad pudiera inducir riesgos sistémicos significativos, en particular para los sectores en los que tal perturbación podría tener
repercusiones de carácter transfronterizo;
–la entidad sea crítica a la luz de su importancia específica a nivel nacional o regional para el sector o tipo de servicio en concreto o para otros sectores interdependientes en el Estado
miembro;
Responsabilidad por incumplimiento de NIS2
EL art. 20.1 de la Directiva señala que los Estados miembros velarán porque los órganos de dirección de las entidades esenciales e importantes aprueben las medidas para la gestión de riesgos de ciberseguridad, supervisen su puesta en práctica y respondan por el incumplimiento por parte de las entidades.
Sanciones por incumplimiento de NIS2
La Directiva establece sanciones administrativas para el incumplimiento de las obligaciones que establece la propia Directiva, tales como instrucciones vinculantes, implementación de las recomendaciones tras haber sufrido una auditoría de seguridad, adoptar medidas de seguridad que no se hayan contemplados y la aplicación de multas administrativas.
Las multas administrativas se van a diferenciar si se aplicarán a entidades esenciales o entidades importantes:
–Si es una entidad esencial, las multas tendrán un máximo de, al menos, 10 millones de EUR o de un máximo de, al menos, el 2 % del volumen de negocios anual total a nivel mundial de la empresa a la que pertenece la entidad esencial durante el ejercicio financiero anterior, optándose por la de mayor cuantía.
–Si es una entidad importante, las multas tendrán un máximo de, al menos, 7 millones de EUR o de un máximo de, al menos, el 1,4 % del volumen de negocios anual total a nivel mundial de la empresa a la que pertenece la entidad importante durante el ejercicio financiero anterior, optándose por la de mayor cuantía.
Formación obligatoria en el contenido de la NIS2
EL art. 20.2 de la Directiva dispone que los Estados miembros deberán garantizar que los órganos directivos de las entidades esenciales e importantes asistan a formaciones en la materia, así como ofrezcan formaciones similares a sus empleados.
Business Adapter® te consigue una auditoría de ciberseguridad GRATIS
Si deseas saber la situación de tu empresa en materia de ciberseguridad, solicita tu auditoría GRATIS en el email: info@businessadapter.es, también puedes llamar al 96 131 88 04, o deja tu mensaje en este formulario: