La Directiva NIS2, la nueva normativa europea que refuerza la ciberseguridad en sectores clave de la economía, acaba de entrar en vigor en España. Esta actualización, que amplía las exigencias de la Directiva NIS de 2016, afectará directamente a las empresas españolas, pero también tendrá un impacto importante en los ciudadanos.
Desde la protección de servicios esenciales hasta la seguridad de los datos personales, esta nueva legislación busca blindar a Europa ante el creciente riesgo de ciberataques.
¿Qué es la Directiva NIS2 y por qué debería importarnos?
La Directiva NIS2 —siglas en inglés de ‘Seguridad de las Redes y Sistemas de Información’— no solo se enfoca en proteger infraestructuras críticas como energía, transporte y salud, sino también en asegurar que los servicios que usamos a diario estén a salvo de ciberamenazas. Esto incluye desde la banca online, hasta los suministros de agua y electricidad, sectores que, si sufrieran un ciberataque, podrían afectar gravemente nuestra vida diaria.
La normativa obliga a las empresas que gestionan estos servicios a mejorar sus sistemas de seguridad y responder rápidamente en caso de incidentes, protegiendo tanto la infraestructura como los datos de los ciudadanos. ¿El objetivo? Evitar que un ataque paralice los servicios esenciales o exponga nuestros datos personales.
¿Qué servicios se verán afectados?
La Directiva NIS2 cubre un abanico muy amplio de sectores. Entre los más relevantes para los ciudadanos están:
- Banca: asegurará que las transacciones y servicios financieros sean más seguros, protegiendo nuestras cuentas y datos personales.
- Sanidad: los hospitales y centros de salud deberán reforzar sus medidas de seguridad para evitar ciberataques que puedan poner en riesgo la confidencialidad de nuestra información médica.
- Transporte y energía: la seguridad de los sistemas que gestionan la electricidad, el gas y el transporte se verá reforzada, minimizando los riesgos de interrupciones o apagones provocados por ataques cibernéticos.
Además, servicios digitales como proveedores de Internet o plataformas de comercio electrónico también estarán sujetos a estas nuevas normativas, protegiendo las compras y transacciones en línea.
¿Cómo afecta esto a los ciudadanos?
La implementación de la Directiva NIS2 busca mejorar la seguridad en los servicios básicos que utilizamos diariamente. Esto significa que, como ciudadanos, estaremos mejor protegidos frente a interrupciones causadas por ciberataques y también frente a posibles robos de datos personales.
Por ejemplo, en caso de un ciberataque a un hospital o a una entidad bancaria, la normativa obliga a estas organizaciones a actuar rápidamente y a notificar los incidentes en un plazo máximo de 24 horas, lo que permitirá una respuesta más rápida y minimizará el impacto.
Además, la Directiva NIS2 pone especial énfasis en la protección de los datos personales, un tema cada vez más relevante para los usuarios. Las empresas tendrán que ser más rigurosas en la forma en que gestionan y protegen nuestra información, algo que muchos ciudadanos ven con alivio, tras los numerosos escándalos de filtraciones de datos en los últimos años.
¿Qué ocurre si las empresas no cumplen?
Las sanciones por incumplimiento de la Directiva NIS2 son severas. Las empresas que no se adapten a la normativa podrían enfrentarse a multas de hasta 10 millones de euros o el 2% de su facturación global. Esto garantiza que las compañías tomen en serio la implementación de medidas de seguridad y que los ciudadanos estén mejor protegidos.
Además, la normativa obliga a las altas direcciones de las empresas a involucrarse activamente en la ciberseguridad. Esto significa que los responsables de las organizaciones deben asegurarse de que sus sistemas de seguridad están a la altura y asumirán responsabilidades directas en caso de negligencia.
Aumentan un 94% los ciberataques en España
España ha registrado un aumento del 94% en ciberataques en solo un año, según el Centro Criptológico Nacional, lo que refleja la urgencia de reforzar la seguridad en los sistemas que usamos cada día. Aunque la Directiva NIS2 supone un desafío para muchas empresas, también representa una oportunidad para proteger mejor a los ciudadanos.
A medida que las empresas se adapten a los nuevos requisitos de la Directiva NIS2, los ciudadanos podrán beneficiarse de mayor seguridad en los servicios esenciales y en la protección de sus datos personales. Esto también significa que, ante un incidente grave, las empresas estarán obligadas a actuar con rapidez para restaurar los servicios y mitigar los daños.
Lo que opinan los expertos
Las expectativas sobre la medida, sin embargo, no son muy optimistas: según una encuesta encargada por Veeam Software, solo el 43% de los encuestados cree que la NIS2 mejorará significativamente la ciberseguridad en la UE, a pesar de que un abrumador 90% reportó al menos un incidente de seguridad que la Directiva podría haber prevenido. Alarmantemente, el 44% experimentó más de tres incidentes cibernéticos en los últimos 12 meses, con el 65% clasificados como ‘altamente críticos’.
Lograr el cumplimiento de NIS2 “requiere que las empresas implementen medidas esenciales, como definir planes de respuesta a incidentes, asegurar las cadenas de suministro, evaluar vulnerabilidades y evaluar los niveles generales de seguridad, incluidas todas las organizaciones afiliadas, socios y cadenas de suministro”, señalan desde Veem.
Sin embargo, añaden, “persisten varios obstáculos para el cumplimiento”. Los principales desafíos citados por los responsables de TI y ciberseguridad incluyen la deuda técnica (24%), la falta de comprensión por parte de la dirección (23%) y presupuestos o inversiones insuficientes (21%).
Por su parte, desde la compañía de seguridad ESET destacan “la importancia del cumplimiento de esta normativa para las empresas, puesto que no hacerlo puede dar lugar a sanciones financieras importantes, similares a las impuestas bajo el GDPR, y tener consecuencias reputacionales devastadoras”.
“Para adaptarse a la NIS2, las empresas deben adoptar un enfoque proactivo. Esto implica realizar un análisis exhaustivo de sus riesgos de ciberseguridad, implementar estrategias de seguridad integrales y actualizar sus políticas internas”, añaden.
Finalmente, desde Proofpoint subrayan que ha cambiado “el punto de partida de lo que es aceptable para proteger a los ciudadanos, mantener las operaciones en las organizaciones y seguir siendo resistentes”. “Prepararse para la directiva NIS2 no va de ver qué se puede hacer, sino de cómo ir más allá de esa base y aprovechar este esfuerzo como ventaja competitiva”, valoran.
Y recuerdan algo básico: el primer paso que las empresas deben dar internamente para cumplir la normativa es comprobar si su sector, subsector y tamaño entran en el ámbito de aplicación de la NIS2 y si se han registrado.