Sanciones más duras, plazos de notificación más cortos y otros cambios que introducirá la NIS2
Con la revisión de la Directiva europea, más entidades tendrán que cumplir con las normas de ciberseguridad.
La legislación sobre ciberseguridad se reforzará en Europa con la introducción de la Directiva NIS2, evolución de la normativa vigente desde hace más de un lustro. La nueva Directiva entrará en vigor a finales de año, con el objetivo de alinear esfuerzos en toda la Unión Europea y garantizar la resiliencia de las infraestructuras críticas.
Los Estados miembros tendrán de plazo hasta el mes de septiembre de 2024 para transponerla a su legislación nacional.
Entonces serán cinco los grandes cambios que se dejarán notar en países como España, empezando por un alcance más amplio. La NIS2 será obligatoria para entidades de más de 250 empleados y 50 millones de euros de facturación anual o un balance superior a los 43 millones de euros anuales. Esto será así para una amplia lista de sectores.
“En determinadas circunstancias, las entidades deben cumplir independientemente del tamaño de la empresa, como los proveedores de redes de comunicaciones electrónicas”, apunta la compañía de seguridad CyberArk, que publica la lista de cambios y recuerda que “depende de cada Estado miembro clasificar estas entidades como ‘esenciales’ (en el caso de los operadores de infraestructura crítica o ciertos fabricantes) o ‘importantes’ (proveedores de servicios digitales o proveedores de servicios gestionados)”.
Otra novedad es el endurecimiento de los requisitos de seguridad, con medidas de referencia como las políticas para el sistema de información, el análisis de riesgos y la evaluación de la eficacia de las medidas de gestión, la respuesta a incidentes, la continuidad del negocio, la gestión de crisis, la protección de la cadena de suministro, el cifrado y la divulgación de vulnerabilidades.
Con NIS2 habrá plazos más cortos para la notificación de incidentes. Una empresa afectada por un problema de seguridad deberá presentar un informe a las autoridades en las 24 horas posteriores a su conocimiento. Tras este informe inicial, deberán acometer una actualización del mismo pasado un mes.
Las sanciones por incumplimiento serán más duras, llegando al 2 % de la facturación anual de las compañías o hasta 10 millones de euros, lo que implique una mayor cuantía.
Por último, los órganos de gestión deberán implementar y cumplir con las medidas de seguridad. Es decir, se introduce la necesidad de la supervisión y la rendición de cuentas por parte del Consejo de Administración.