Para cumplir con la NIS 2, las empresas deben comenzar por realizar un análisis de brechas para evaluar su nivel actual de ciberseguridad y desarrollar un plan de acción que priorice los riesgos más significativos. Es fundamental que en 2025 destinen presupuesto específico a la gestión de la ciberseguridad, establecer un modelo de gobernanza eficaz que asigne claramente responsabilidades y garantizar la seguridad de la cadena de suministro.
España registró 107.777 ciberataques en 2023, un 94 % más que en 2022. Estas impactantes cifras han llevado a la Unión Europea a actuar y lanzar la Directiva NIS 2, una actualización que refuerza los requisitos de la actual NIS, vigente desde 2016.
La normativa afectará a 100.000 empresas de toda Europa y tendrá una mayor supervisión y sanciones. En España, aún no se ha producido la adaptación a la legislación, por lo que desde la certificadora mundial TÜV Rheinland han preparado una guía para que las afectadas puedan ir preparándose:
1. Saber si eres una empresa afectada. El primer paso es identificar si la empresa pertenece a los sectores críticos definidos por la NIS 2 y registrarse oficialmente como una entidad a la que le es aplicable la normativa. Esto asegura que las autoridades competentes tengan constancia de la organización.
2. Definir un modelo de gobernanza de ciberseguridad. Esto incluye establecer roles y responsabilidades dentro de la organización, designar un responsable de seguridad y garantizar que las decisiones se alineen con la estrategia empresarial.
3. Seguridad en toda la cadena de suministro. Aunque no te ataquen directamente a ti, los ciberdelincuentes pueden acceder a través proveedores o terceros, por lo que hay que asegurarse de que cumplan también con estándares de ciberseguridad.
4. Plan de continuidad de negocio. Es importante contar con un plan que permita a la empresa operar durante y después de un ciberataque o interrupción significativa, ya pueden secuestrar tu información y detener tu actividad o producción durante semanas o meses.
5. Sensibilización de los trabajadores. Es crucial formar y concienciar a todos los empleados sobre la importancia de la ciberseguridad y sus responsabilidades individuales para prevenir incidentes.
6. Asignación presupuestaria Cumplir con la NIS 2 implica una inversión continua. La empresa debe asignar una partida presupuestaria anual para personal, tecnología, auditorías y formación.
¿Qué pasa si la empresa no cumple con la normativa?
La actualización de la NIS incluye un endurecimiento de las sanciones en caso de incumplimiento:
· Para las entidades esenciales, las multas pueden alcanzar la cifra de 10 millones de euros o el equivalente al 2% de su negocio total anual global,
· En el caso de las entidades importantes, pueden llegar a 7 millones de euros o a un máximo del 1,4% de su negocio total anual global.
La Directiva NIS 2 en España representa una oportunidad única para modernizar y fortalecer la red seguridad digital, esencial para el desarrollo económico y la seguridad nacional.
Rubén Fusté, Sales Manager de Servicios Industriales y Ciberseguridad de TÜV Rheinland España
