NIS2: Qué es, por qué es importante y cómo prepararse

Autor/a: Kevin Oliveira

Compartir en    

NIS1 fue la primera legislación de ciberseguridad a nivel de la UE, que entró en vigor en 2016. Fue diseñada para aumentar los niveles generales de ciberseguridad en la UE, pero tenía una serie de deficiencias que hacían que su aplicación fuera difícil y confusa para las organizaciones objetivo. El resultado fue que los estados miembros tenían pocos incentivos para penalizar a las organizaciones que violaban la NIS1.

El 16 de enero de 2023, se introdujo NIS2 para abordar estas deficiencias. NIS2 tiene un alcance más amplio, se expande para cubrir una gama más amplia de entidades e introduce requisitos de seguridad más estrictos. Los detalles de NIS2 ya se han publicado y “entraron en vigor en 2023”, pero la fecha límite clave es octubre de 2024, cuando las legislaturas nacionales de la UE deberán contar con leyes aplicables.

Los cambios clave de NIS1 a NIS2 incluyen:

• Alcance ampliado: NIS2 se aplica a una gama más amplia de entidades que NIS1, incluidas entidades esenciales e importantes. Las entidades esenciales son aquellas que brindan servicios críticos a la sociedad, como energía, transporte y atención médica. Las entidades importantes son aquellas que desempeñan un papel importante en la economía o la sociedad, como las instituciones financieras y las empresas de telecomunicaciones. Se estima que esto beneficiará a unas 160.000 organizaciones.
• Requisitos de seguridad más estrictos: NIS2 introduce requisitos de seguridad más específicos que NIS1. Estos requisitos cubren áreas como la gestión de riesgos, la detección y respuesta a incidentes, y la concientización y capacitación en seguridad de la información.
• Notificación de incidentes: NIS2 requiere que las organizaciones informen los incidentes de ciberseguridad a las autoridades. Esto ayudará a las autoridades a rastrear el panorama de amenazas y coordinar respuestas a incidentes importantes.
• Aplicación mediante sanciones: Como es costumbre en las iniciativas de la UE, ésta muestra sus dientes a través de multas administrativas de hasta 10 millones de euros o el 2% de la facturación total de la entidad en todo el mundo, lo que sea mayor, para las “Entidades Esenciales” (y existe un Multa ligeramente menor también: 7 millones de euros o 1,4% de la facturación global para “Derechos importantes”). Estas serían adicionales a cualquier multa que pueda aplicarse debido a un solo incidente que también infringe las reglas del RGPD.

NIS2 se aplicará a cualquier organización con más de 50 empleados cuya facturación anual supere los 10 millones de euros, y a cualquier organización previamente incluida en la Directiva NIS original.

Forcepoint ha sido líder en empoderar a las organizaciones para proteger sus datos y la clave para esto es permitir que las empresas sigan cumpliendo con las regulaciones a nivel mundial. Contamos con una gama de soluciones de seguridad de datos que abordan específicamente los estrictos requisitos de seguridad de NIS2, abordando específicamente la gestión de riesgos y la detección y respuesta a incidentes.

Esta publicación es el comienzo de una serie de blogs que publicaremos semanalmente para abordar específicamente cómo Forcepoint equipa a las organizaciones para cumplir con las áreas clave descritas en NIS2. Esté atento a la próxima publicación que abordará el tema de la gestión de riesgos.

Para más información pincha aquí.