Prepárate para la NIS2, la nueva normativa de ciberseguridad en la Unión Europea

Edgar Moreno
Analyst · Compliance & Security
8 octubre 2024
|
Tiempo de lectura
7 min

Este mes finaliza el plazo para cumplir con la nueva ley europea NIS 2, y todas las empresas afectadas deberán regularizar su situación antes de esta fecha para evitar sanciones. En este artículo repasaremos los aspectos más importantes de la directiva NIS 2 y exploraremos cómo los productos de seguridad de Microsoft te pueden ayudar a cumplir con sus requisitos.

¿Qué es la directiva NIS 2?

La directiva NIS 2 es una nueva ley de ciberseguridad aprobada para toda la Unión Europea. Su objetivo es establecer medidas legales que mejoren el nivel general de ciberseguridad en la UE y fortalezcan la resiliencia de las infraestructuras críticas y los servicios digitales en Europa.

¿Qué novedades supone?

  • Nuevos sectores regulados: energía, espacio, agua potable, así como servicios postales, gestión de residuos y alimentación.
  • Normas de seguridad más estrictas: impone mayores requisitos en la gestión de riesgos, la seguridad de la cadena de suministro y la notificación de incidentes de ciberseguridad.
  • Sanciones más severas: el incumplimiento de las obligaciones de la NIS 2 puede resultar en sanciones de hasta 10 millones de euros o el 2% de la facturación anual global de la empresa afectada.

La normativa NIS 2 entró en vigor en enero de 2023, y los estados miembros de la UE deben transponerla a su legislación nacional antes del octubre de 2024. En España, la fecha límite para esta transposición es el próximo 18 de octubre. Las organizaciones deben cumplir con los requisitos antes de esa fecha para evitar posibles sanciones.

Sectores regulados por la NIS2

La directiva NIS 2 clasifica a las entidades en dos categorías: Sectores de alta criticidad y Sectores críticos. Aplica principalmente a organizaciones públicas y privadas, medianas o grandes, que operan en la Unión Europea y cuyas actividades son vitales para el funcionamiento de la sociedad y la economía.

Estas entidades deben autoidentificarse dentro de esta clasificación, salvo en algunos casos donde los estados miembros pueden designar como esenciales o importantes a entidades de menor tamaño, si se considera que su impacto potencial en la seguridad es significativo.

Sectores afectados por la nueva normativa NIS2 de ciberseguridad europea

¿La NIS 2 afecta a mi empresa?

Estos son los criterios para determinar si tu organización está sujeta a la Directiva NIS 2:

  1. Si tu empresa ha sido clasificada como una infraestructura crítica, automáticamente está sujeta a la normativa NIS2. Las infraestructuras críticas abarcan servicios esenciales como energía, transporte, salud, agua, entre otros.
  2. Si tu empresa forma parte de los 18 sectores cubiertos por la directiva, tiene más de 50 empleados y una facturación anual superior a 10 millones de euros, también estará afectada por esta normativa.

Notificaciones de incidencias

La directiva NIS2 establece la obligación de notificar los incidentes que tengan un impacto significativo en la prestación de los servicios de la entidad. En caso de que ocurra un incidente de esta naturaleza, se debe informar a la autoridad competente o al CSIRT (Equipo de Respuesta a Incidentes de Seguridad Informática) correspondiente.

*Impacto significativo:

  • Ha causado o puede causar graves perturbaciones operativas de los servicios o pérdidas económicas para la entidad afectada.
  • Ha afectado o puede afectar a otras personas físicas o jurídicas al causar perjuicios materiales o inmateriales considerables.

Responsabilidades de los equipos directivos

La alta dirección tiene la responsabilidad final en la gestión de los riesgos de ciberseguridad en las entidades de alta criticidad y criticas. El incumplimiento de los requisitos establecidos por la directiva NIS2 podría acarrear consecuencias graves, como sanciones administrativas, prohibiciones temporales e incluso responsabilidades legales, tal como lo establece la legislación nacional aplicable.

En concreto, los equipos directivos de las entidades son responsables de:

  • Aprobar la adecuación de las medidas de gestión de riesgos de ciberseguridad adoptadas por la entidad.
  • Supervisar la aplicación de las medidas de gestión de los riesgos.
  • Formarse con el fin de adquirir suficientes conocimientos y habilidades para identificar riesgos y evaluar las prácticas de gestión de riesgos de ciberseguridad y su impacto en los servicios prestados por la entidad.
  • Ofrecer una formación similar a sus empleados de forma regular.

Todas las medidas para cumplir con la NIS 2

Las entidades deben implementar medidas técnicas, operativas y organizativas adecuadas para gestionar los riesgos de ciberseguridad y minimizar el impacto de los incidentes en sus servicios.

Cómo puede ayudar Microsoft

Microsoft ha desarrollado un completo portafolio de soluciones de seguridad que simplifica el cumplimiento de diversas normativas, incluida la directiva NIS 2 de la Unión Europea. A continuación, se presenta un mapeo que demuestra cómo las medidas de esta directiva pueden alinearse perfectamente con la estrategia de seguridad Zero Trust de Microsoft. Esta compatibilidad surge porque la NIS 2 comparte principios clave con la metodología Zero Trust, lo que permite una integración fluida y eficiente entre ambas estrategias.

Si tu organización ya utiliza las soluciones de seguridad de Microsoft, la adopción de la directiva NIS 2 será un proceso organizado y ágil, asegurando que se cumplan todos los requisitos de manera efectiva.

En la ilustración que sigue, hemos vinculado cada uno de los vectores de Zero Trust con las medidas específicas de la NIS 2 vistas en el cuadro anterior, destacando cómo se alinean y complementan entre sí.

Principios de NIS 2 frente a la tecnología de Microsoft

En la sección anterior, hemos proporcionado una visión general sobre cómo las soluciones de Microsoft pueden facilitar el cumplimiento de las exigencias de la nueva directiva NIS 2.

Vamos a ver ahora un análisis más detallado, teniendo en cuenta la amplia oferta del ecosistema de Microsoft y la diversidad de funcionalidades que cada uno de sus productos proporciona. Para facilitar la comprensión, hemos elaborado una tabla que detalla cómo los principios de ciberseguridad de la directiva NIS 2 de la Unión Europea pueden abordarse utilizando las soluciones de seguridad de Microsoft.

Cabe destacar que solo hemos incluido las medidas que pueden ser cubiertas directamente por las soluciones de Microsoft, en el marco de los requisitos de la directiva NIS 2. Sin embargo, es importante señalar que algunos aspectos, como la elaboración de procedimientos, la concienciación de los usuarios en temas de seguridad, o la formación, no están contemplados de manera directa en las soluciones de Microsoft y requieren enfoques adicionales por parte de las organizaciones.

Microsoft se posiciona como un socio estratégico clave para las organizaciones que buscan cumplir con los requisitos de la nueva directiva de ciberseguridad NIS 2, aprobada por la Unión Europea. Sus avanzadas soluciones de seguridad permiten a las empresas abordar de manera eficiente los principios establecidos por esta normativa, proporcionando un elevado nivel de protección y asegurando el cumplimiento regulatorio.

Si estás interesado en cómo las soluciones de Microsoft pueden apoyar a tu organización en el cumplimiento de la NIS 2 y otros marcos regulatorios, contáctanos. Nuestro equipo estará disponible para ofrecerte asesoramiento personalizado y diseñar una estrategia que garantice tanto la seguridad como el cumplimiento normativo en tu empresa.

 Artículos RelacionadosVer todos los artículos
Ver todos los artículos
chevron-downarrow-up