¿Qué está pasando con la NIS2?
Son ya varias las empresas que, semana sí, semana también, tocan a la puerta de edataconsulting para preguntar si ofrecemos servicios relacionados con la NIS2, si están afectadas por dicha normativa y, también, “cómo va el tema de las sanciones”. Algunas de estas compañías comentan haber recibido llamadas a puerta fría de grandes consultoras, cuyo único objetivo parece ser infundir miedo, aprovechándose de la incertidumbre y el desconocimiento generalizado sobre este tema. Éstas suelen insistir en que “lo más sensato es ponerse al lío lo antes posible» y, por supuesto, con ellos al frente como «grupo de expertos» ideal para gestionar la situación.
Desorientado, el cliente suele solicitar tiempo para buscar más información, intentando ganar un margen valioso para analizar si incluso la llamada podría ser parte de una estrategia destinada a captar víctimas potenciales de estafa. Y, dicho sea de paso, esto no es una posibilidad descartable, especialmente en los tiempos que corren.
Pero antes que nada… ¿Qué es la NIS2?
La NIS2 (Network and Information Systems Directive 2) es una normativa europea que busca reforzar la ciberseguridad en los países miembros de la Unión Europea. Aprobada en 2022 como una actualización de la Directiva NIS1con aplicación en EEUU, su principal objetivo es establecer un nivel elevado y uniforme de seguridad en las redes y sistemas de información esenciales para la economía y la sociedad.
Muchas empresas creen erróneamente que el esfuerzo realizado para obtener la certificación ISO 27001:2022 las exime de cumplir con la NIS2. Sin embargo, déjame decirte que existen diferencias notables entre ambas normativas. La NIS2 amplía los sectores considerados críticos, incluyendo áreas como energía, transporte, sanidad e infraestructuras digitales. Además, clasifica a las entidades en dos categorías: esenciales e importantes, asignándoles obligaciones específicas en gestión de riesgos, la notificación de incidentes y la protección de la cadena de suministro.
Otra diferencia es que la NIS2 establece un régimen sancionador más severo que el de otras normativas, con multas que pueden alcanzar hasta el 2% de la facturación anual en el caso de entidades esenciales que incumplan sus obligaciones.
Además, el cumplimiento de NIS2 no se limita a las grandes organizaciones, también afecta pymes que operan en sectores críticos o que son proveedoras de empresas obligadas a cumplir con la normativa. Esto busca garantizar un nivel homogéneo de ciberseguridad en toda la cadena de suministro y evitar brechas que puedan ser explotadas por ciberataques.
Tic tac…
El pasado 17 de octubre venció el plazo establecido para que todos los países de la UE hicieran la transposición de la NIS2 a sus respectivos marcos legislativos. Sin embargo, España, junto con otros 23 países, no ha cumplido los tiempos marcados, lo que ha llevado a Europa a abrir expedientes que, si no se atienden en tiempo y forma, podrían derivar en sanción.
La realidad es que esto se veía venir puesto que, hasta ese momento, solo Bélgica había completado la transposición. Entiendo que estas cosas nunca deberían pasar, especialmente cuando España está a la cabeza de los países más afectados por ciberataques en 2024.
Lo normal es que en los próximos días el Gobierno mueva ficha. Aún no está claro si será a través de INCIBE (Instituto Nacional de Ciberseguridad) o del CCN-CERT (Centro Criptológico Nacional), pero por la cuenta que nos trae, conviene agilizar el ritmo.
Nuestro punto de vista
En edataconsulting no creemos que las empresas deban apresurarse para evitar sanciones implantando medidas normativas y certificándose. Nuestra visión es que, cuanto más seguras sean las empresas (no sólo las consideradas críticas), menos espacio dejaremos para que los ciberdelincuentes campen a sus anchas. Y esto se consigue adoptando en gran parte medidas reguladas en estándares como la NIS2, ENS o ISO 27001.
Olvidémonos, por un momento, de la “medallita” o certificación que nos avala como empresa segura y que nos abre camino para participar en licitaciones. Lo que realmente importa es el proceso: ¿cómo ha mejorado mi compañía en materia de ciberseguridad desde que empecé hasta ahora?
Dicho esto, se me ocurren un par de preguntas retóricas para ti, empresario/a que has sudado para mantener tu negocio a flote:
- ¿Cuánto valoras los datos de tu empresa?
- ¿Los proteges de la misma forma que los valoras?
- ¿Sigues considerando la ciberseguridad como un gasto innecesario?
- ¿Y si viene el coco (aka ciberataque dañino), no sería mejor estar prevenidos?
¿No es hora ya de tomarnos en serio la CIBERSEGURIDAD en España?
Felices y seguras fiestas para todos.
P.D.: Si después de haber leído el artículo te han surgido otras dudas sobre la NIS2 o quieres saber cómo puedes mejorar la seguridad en tu empresa, reserva una reunión sin compromiso con nosotros.
Escrito por: David Delgado, Head of IT-SEC en edataconsulting
