Europa refuerza su ciberseguridad con la nueva directiva NIS2 ¿Qué medidas incorpora?

 El objetivo primordial, es eliminar las diferencias entre los requisitos de ciberseguridad y de aplicación de las medidas entre los distintos Estados miembros. Para ello, se establecen normas mínimas para un marco regulador y mecanismos para una cooperación eficaz entre las autoridades de cada Estado miembro, entre ellas se pueden destacar:

1.     Nuevas obligaciones

• Con la Directiva NIS2 cada compañía deberá autoevaluarse y definir si es una empresa esencial o importante. Tanto las organizaciones esenciales o importantes, deben adoptar una gran variedad de prácticas básicas de ciber-higiene. Entre ellas se destacan los principios de confianza cero (Zero Trust), las actualizaciones de software, la configuración de dispositivos, la segmentación de la red y gestión de identidades. Además, también se incluye el acceso o la concienciación de los usuarios y la organización de formaciones para su personal y sensibilizar sobre las ciberamenazas. 
• Las empresas deberán actualizar su software de seguridad, parchear vulnerabilidades e implementar medidas de gestión de riesgos.
• En el plano organizativo, la Directiva NIS2 obliga a las empresas a tener un documento social sobre la política relativa a la seguridad digital. A partir de este documento se deberán realizar distintos protocolos sobre los riesgos tecnológicos. En el plano tecnológico, relativo a las tecnologías críticas y, en tercer lugar, en el plano conductual, que se deberá basar en el marco de seguridad de gestión de riesgos de Ciberseguridad.

2.     Responsabilidad del Directorio, Alta Dirección y el CISO:  la responsabilidad, la dirección y el liderazgo en materia de seguridad digital pasa a ser de dos actores principales: el Consejo de Administración de la empresa que entre dentro del ámbito de aplicación y el Chief Indormation Security Officer (CISO) de la compañía. Es por esto, que se deberá realizar una formación del Consejo de Administración o directorio en materia de Ciberseguridad, debido a la importancia estratégica de la empresa. Según el artículo 7 de la Directiva NIS2, el Consejo también deberá aprobar las medidas, asegurarse de su ejecución y recibir la formación adecuada para comprender los riesgos tecnológicos. El Consejo no puede omitir o trasladar a otros ámbitos de la compañía la responsabilidad por materia de seguridad digital. 

• 3.Notificación de incidentes de ciberseguridad: En la anterior Directiva, la NIS1, cada país seguía su propia política de notificación de incidentes, lo que era un problema cuando se daban incidentes transnacionales. Ahora, bajo la Directiva NIS2, se crea un marco común para toda la Unión. Sin embargo, sí se mantiene la libertad de cada país de regular los incidentes que no tengan ninguna repercusión en otros países de la Unión. La obligatoriedad de notificar si se está siendo víctima de un ciberataque deberá realizarse a lo largo de las 24 horas siguientes a su conocimiento y presentar un informe completo antes de 72 horas. Con ello, NIS2 busca garantizar una mayor protección si bien, en el caso de no cumplirse, puede conllevar sanciones económicas que pueden elevarse hasta el 2% de la facturación global de la firma. 

4. Inclusión de la cadena de suministro y terceros: Según la Directiva NIS2 no solo las propias empresas deben mantener las nuevas medidas en su compañía, sino que deben exigirlas también a los terceros que les suministran. Se destaca en un papel principal si, además, estas empresas suministran servicios IT. Además, los Estados ahora deberán también velar porque la Directiva NIS2 se cumpla en las empresas que deben incorporar las nuevas medidas.

5. Inclusión de Tecnologías Emergentes e Inteligencia Artificial: Según la Directiva NIS2, los Estados miembros también deberán fomentar el uso de toda tecnología innovadora, incluida la inteligencia artificial, cuyo uso pueda mejorar la detección y la prevención de ciberataques, permitiendo que los recursos se desvíen de manera más eficaz hacia la lucha contra los ciberataques.