En respuesta a la creciente digitalización y el aumento de amenazas cibernéticas, la Unión Europea ha lanzado la Directiva NIS2, una actualización crucial de su legislación en ciberseguridad. Esta directiva, oficialmente conocida como la Directiva (UE) 2022/2555, entró en vigor en enero de 2023 y establece nuevas obligaciones para los Estados miembros y organizaciones de sectores críticos. En octubre de 2024, los Estados miembros deben haber transpuesto la normativa a sus legislaciones nacionales, haciendo aplicables sus exigencias.
La Directiva NIS2 surge como una evolución de la Directiva NIS1 de 2016 (UE 2016/1148), que había establecido el primer marco europeo común en ciberseguridad. Sin embargo, ante el rápido aumento de los incidentes cibernéticos, la NIS1 quedó obsoleta, lo que llevó a la UE a reforzar y expandir sus regulaciones.
Entre las principales novedades de la NIS2, se encuentra su ampliación en cuanto a alcance y sectores afectados. Además de mejorar la seguridad en sectores considerados «esenciales», como la energía, las telecomunicaciones y la banca, también se incluyen sectores «importantes», como la alimentación, el transporte y el tratamiento de residuos. Esto obligará a empresas públicas y privadas en estos sectores a adoptar estándares más estrictos en gestión de riesgos y ciberseguridad.
La Directiva NIS2 también introduce mayores requisitos para la notificación de incidentes de ciberseguridad y hace especial hincapié en la protección de la cadena de suministro, uno de los puntos más vulnerables en la actualidad. De este modo, se busca garantizar que tanto los proveedores como las organizaciones críticas refuercen sus sistemas de defensa.
Otra medida destacada es la creación de un Grupo de Cooperación para fomentar la colaboración entre los Estados miembros en temas de ciberseguridad, así como la exigencia de que cada país cuente con un Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT) y una autoridad nacional competente en redes y sistemas de información (NIS).
El esfuerzo legislativo europeo se complementa con otras iniciativas como la Ley de Ciberresiliencia y el Reglamento DORA, todos con el objetivo de consolidar un nivel alto de protección en el panorama digital europeo.
En España, empresas especializadas en ciberseguridad como S2 Grupo, asociada a AESMIDE, juegan un rol clave al ofrecer su expertise y soluciones para cumplir con los nuevos requisitos de la Directiva NIS2, ayudando a organizaciones a adaptarse a estas exigencias.
En la edición más reciente de #S2News, la compañía ofrece una guía detallada sobre la NIS2 y analiza las vulnerabilidades cibernéticas más destacadas del mes de septiembre, proporcionando una valiosa herramienta para las empresas que buscan mejorar sus estrategias de ciberseguridad en un entorno cada vez más complejo.
