¿Qué es NIS2? Guía sencilla sobre la nueva ley de ciberseguridad de la UE

El mundo digital sigue cambiando, y los riesgos también. Para ayudar a proteger los servicios esenciales y las empresas, la Unión Europea ha introducido NIS2, una nueva ley que refuerza la ciberseguridad en toda Europa.

Entonces, ¿qué es exactamente NIS2? ¿Y cómo afecta a tu organización? He aquí una rápida explicación.

¿Qué significa NIS2?

NIS2 significa Directiva de Seguridad de las Redes y de la Información 2. Es una versión actualizada de la primera ley de ciberseguridad de la UE (la Directiva NIS de 2016).

El objetivo de NIS2 es hacer que la infraestructura digital europea sea más segura y resistente, estableciendo normas claras sobre la forma en que las organizaciones gestionan la ciberseguridad. Se aplica a muchos tipos de organizaciones, como:

• Proveedores de energía y transporte
• Agua, producción y distribución de alimentos
• Servicios sanitarios
• Infraestructura digital y proveedores de la nube
• Fabricantes de productos críticos

¿Por qué se creó NIS2?

La Directiva NIS original fue un buen comienzo, pero las ciberamenazas se han hecho más frecuentes y complejas. NIS2 se introdujo para:

• Reforzar la ciberseguridad en todos los Estados miembros de la UE
• Mejorar la cooperación entre países
• Aumentar la responsabilidad de la dirección de la empresa
• Garantizar que los incidentes se gestionan y notifican rápidamente
  
  

En resumen, se trata de garantizar que los servicios vitales funcionen con seguridad y sin interrupciones.

¿Qué requiere NIS2?

Las organizaciones cubiertas por NIS2 deben tomar medidas específicas para proteger sus sistemas y datos, como por ejemplo

• Gestionar los riesgos de ciberseguridad
• Aplicar medidas de seguridad técnicas y organizativas
• Informar de incidentes graves en plazos ajustados
• Responsabilizar a la dirección de las decisiones sobre ciberseguridad
  
  

El incumplimiento podría acarrear multas de hasta 10 millones de euros o el 2% de la facturación anual.

¿Cuándo se aplica NIS2?

El plazo para que los países de la UE incorporasen NIS2 a su legislación nacional era el 17 de octubre de 2024. Algunos lo han completado, mientras que otros no lo han hecho.

Países que han adoptado NIS2 (leyes nacionales en vigor):

Bélgica, Croacia, Chipre, República Checa, Dinamarca, Finlandia, Francia, Grecia, Hungría, Italia, Letonia, Lituania, Malta, Rumanía, Eslovaquia, Eslovenia.

¿Y si tu país aún no ha aprobado una ley?

NIS2 es una directiva de la UE, por lo que su cumplimiento se produce a través de la legislación nacional de cada país. Si tu país no ha terminado, las autoridades aún pueden enfrentarse a una acción por infringement de la UE, y tu organización debe prepararse de todos modos, especialmente si operas a través de las fronteras o en países que ya han aplicado NIS2.

Consejo: Empieza a alinearte con los controles NIS2 – gestión de riesgos, notificación de incidentes y seguridad de la cadena de suministro – para prepararte para las próximas normativas nacionales.

Cómo prepararse para NIS2

Aquí tienes algunos primeros pasos:

1. Comprueba si NIS2 se aplica a tu organización.
2. Revisa tus políticas y controles de ciberseguridad actuales.
3. Haz que la dirección sea consciente de sus responsabilidades legales.
4. Prepara un plan de respuesta a incidentes y de elaboración de informes.
   
   

El cumplimiento puede parecer complejo, pero con las herramientas y la orientación adecuadas, no tiene por qué serlo. Puedes leer más sobre cómo cumplir con NIS2 aquí.

Reflexiones finales

NIS2 es algo más que seguir unas normas: se trata de proteger tu organización, tus clientes y tu reputación en el entorno interconectado actual.

En Trustlinks creemos que el cumplimiento debe ser sencillo y accesible. Ayudamos a las organizaciones a mantener la confianza, el cumplimiento y el control. ¿Necesitas ayuda para entender tus obligaciones de cara a NIS2? Trustlinks te ayuda a navegar por el cumplimiento de la UE con facilidad y confianza.

¡Explora aquí la plataforma de cumplimiento Trustlinks!