El 27 de diciembre de 2022, se publicó la directiva europea NIS2. Es la 2022/2555 sobre las medidas para garantizar un elevado nivel común de ciberseguridad en la Unión Europea y deroga la SRI2. Por su parte, los Estados miembros tienen hasta el 17 de octubre de 2024 para su transposición.
La necesidad de esta norma viene motivada por dos hechos básicos. Por un lado, ya sabéis que, desde la pandemia, hemos experimentado una fuerte digitalización en todo nuestro tejido empresarial. Esto ha ido de la mano de la segunda razón: un aumento espectacular de los ciberataques, cada año, que no solo comprometen nuestros datos. En la Cámara, consideramos esencial que conozcáis esta norma.
Son cuatro los objetivos fundamentales de esta norma:
De acuerdo con los datos de IBM Cost of a Data Breach Report 2023, el coste de los ciberataques alcanza una media de 4,45 millones de dólares anuales. Por tanto, el valor económico que suponen no los debéis despreciar. Imaginad, en vuestra pyme, lo que puede suponer que os dejen bloqueados todos vuestros sistemas informáticos. Probablemente, muchas no lo puedan asumir, salvo que tengan destinada una gran partida para gastos imprevistos.
Sois los responsables de la salvaguarda de los datos de carácter personal de vuestros clientes y proveedores. En consecuencia, tenéis la obligación de cumplir con el Reglamento General de Protección de Datos (RGPD) y con la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPGDD). Su cumplimiento implica que debéis hacer todo lo posible, tanto desde el punto de vista humano como técnico, para impedir esos accesos no autorizados.
Desde un punto de vista positivo, tener un plan eficaz en ciberseguridad os supone incrementar la confianza de vuestra marca y la productividad. Esto es así porque al mantener la seguridad de las redes, no tenéis por qué paralizar vuestra actividad ante un evento.
Para ahondar en la ciberseguridad en las empresas en la actualidad, esta directiva propone importantes novedades en diferentes áreas. Las analizamos.
Son dos los aspectos más relevantes que debéis tener en cuenta. Por un lado, eleva el número de sectores que quedan bajo el paraguas de esta regulación a 18. Y por otro, distingue entre entidades esenciales y entidades importantes.
En total, son 18 los sectores que obligatoriamente deben cumplir con lo que señala esta directiva. Los divide en dos grupos. Así, los sectores de alta criticidad, cuyos subsectores se detallan en el Anexo I de la directiva, son:
El Anexo II reúne los subsectores del epígrafe Otros sectores críticos. En él se incluyen:
Respecto a las entidades esenciales, se refiere a las siguientes:
Las entidades importantes son las que corresponden a otros sectores críticos no calificados como esenciales.
La directiva subraya la necesidad de que tengáis una visión holística o de conjunto para abarcar todas las obligaciones que impone. Sin embargo, nos parece crucial comenzar por el artículo 21. Entre otras medidas, debéis incluir:
Señala que las sanciones deberán ser efectivas, proporcionales y disuasorias. Además, se atenderá a las circunstancias particulares de cada caso. Como orientación para los Estados miembros, se refiere a las siguientes cuantías:
El flujo de notificación a la AEPD para los incidentes significativos se compone de:
Para la supervisión del régimen sancionador adoptado, los Estados miembros deben remitirlo antes del 17 de enero de 2025, así como el listado de entidades esenciales e importantes.
En TicNegocios, estamos convencidos de que la directiva europea NIS2 nos afecta a todos de un modo u otro. Si sois de las entidades esenciales o importantes, el tiempo os apremia. Y si no lo sois, proporciona las indicaciones apropiadas para orientaros en ciberseguridad en vuestras empresas. ¡Asesoraos!