A medida que las ciberamenazas se vuelven más complejas y frecuentes, la Unión Europea adopta importantes medidas para reforzar las defensas digitales del continente. Desde el 17 de octubre de 2024 está en vigor la nueva Directiva NIS-2, que establece normativas más estrictas para reforzar la ciberseguridad en un amplio abanico de sectores.

Sobre la base de la Directiva NIS original (Directiva de Seguridad de las Redes y de la Información), que se introdujo en 2016, la NIS-2 cierra las brechas identificadas en su predecesora y amplía su alcance a más sectores mediante la introducción de normas más estrictas y una mayor cooperación entre los Estados miembros de la UE. Esto es lo que las empresas deben saber sobre este nuevo reglamento y cómo afecta a los distintos sectores.

Los cambios más importantes del NIS-2

La NIS-2 pretende mejorar el marco de ciberseguridad en toda la UE:

• Ampliación del ámbito de aplicación: La nueva normativa se aplica a más sectores y organizaciones.
• Mejora de la gestión de riesgos: Las empresas deben adoptar medidas de ciberseguridad más exhaustivas y ser más transparentes a la hora de notificar incidentes.
• Introducción de sanciones más estrictas: Las empresas que no cumplan la normativa estarán sujetas a sanciones armonizadas en todos los estados miembros.
• Fomento de la cooperación: NIS-2 promueve un mejor intercambio de información y cooperación entre los sectores público y privado y entre los Estados miembros de la UE.

Sectores afectados por la NIS-2

La NIS-2 amplía considerablemente el abanico de sectores y servicios que deben aplicar medidas de ciberseguridad reforzadas. A continuación se enumeran algunos de los sectores afectados más importantes:

1. Energía: El sector energético, que incluye empresas de electricidad, petróleo, gas y energías renovables, es fundamental para el funcionamiento de una sociedad moderna. En virtud de la NIS-2, las empresas energéticas deben reforzar sus protocolos de ciberseguridad para proteger sus sistemas de interrupciones causadas por ciberataques. Esto incluye una mayor supervisión de los sistemas y la gestión de riesgos en las cadenas de suministro, ya que los ataques a redes eléctricas, oleoductos o refinerías de petróleo pueden tener efectos de gran alcance.
2. Sanidad: El sector sanitario se ha convertido en un objetivo cada vez más importante para los ciberdelincuentes, ya que los datos sensibles de los pacientes y los servicios médicos críticos están en peligro. Los hospitales, los proveedores de asistencia sanitaria, los fabricantes de dispositivos médicos e incluso las empresas farmacéuticas deben ahora cumplir medidas de ciberseguridad más estrictas en virtud de la NIS-2. Esto significa que los sistemas críticos deben estar protegidos contra ataques informáticos. Esto significa que los sistemas críticos deben estar asegurados y los datos de los pacientes protegidos, especialmente a medida que los proveedores de asistencia sanitaria dependen cada vez más de los registros digitales y los servicios de telemedicina.
3. Transporte: La NIS-2 también incluye bajo su paraguas el sector del transporte, es decir, las redes aéreas, ferroviarias, marítimas y por carretera. Las interrupciones de los servicios de transporte pueden tener un efecto cascada en las cadenas de suministro y los servicios clave. Por lo tanto, se espera que las empresas que operan en este sector inviertan en medidas de ciberseguridad más estrictas para prevenir ataques que puedan interrumpir el flujo de bienes y personas.
4. Servicios financieros: El sector de los servicios financieros, que incluye bancos, aseguradoras y proveedores de servicios de pago, ya está sujeto a una estricta normativa financiera, pero la NIS-2 traerá consigo nuevas obligaciones en materia de ciberseguridad. Este sector ha sido durante mucho tiempo un valioso objetivo para los ciberdelincuentes, y la NIS-2 pone un énfasis adicional en la protección de las infraestructuras financieras críticas y en la prevención de fraudes, robos u otras perturbaciones que puedan afectar a los mercados financieros.
5. Infraestructura digital: Con el auge de la computación en nube, los centros de datos y los servicios de Internet, el sector de la infraestructura digital también se verá muy afectado. Los proveedores de servicios en la nube, sistemas de nombres de dominio (DNS) y otras infraestructuras clave de Internet tendrán que aplicar medidas de ciberseguridad más estrictas, ya que las interrupciones en este sector podrían tener un impacto devastador en otras industrias que dependen de sus servicios.
6. Administración pública y gobiernos: Dado el papel esencial que desempeñan las administraciones públicas en la prestación de servicios y el mantenimiento del orden, los gobiernos locales, regionales y nacionales también entran en el ámbito de aplicación de la NIS-2. Los organismos públicos deben garantizar la protección de sus sistemas frente a ataques que puedan interrumpir la administración, los servicios a los ciudadanos y las infraestructuras públicas críticas.

Cómo afecta NIS-2 a las empresas

La Directiva NIS-2 obliga a las empresas a introducir una serie de cambios en sus prácticas de ciberseguridad. A continuación se enumeran las obligaciones más importantes:

1. Gestión de riesgos: Las empresas deben aplicar un enfoque sólido de gestión de riesgos a la ciberseguridad. Esto incluye la identificación y corrección de vulnerabilidades, la protección de sus redes y sistemas y el desarrollo de planes de respuesta a incidentes.
2. Notificación de incidentes: Las empresas estarán obligadas a notificar a las autoridades competentes los incidentes cibernéticos significativos dentro de un plazo estricto. En caso contrario, se podrán imponer sanciones.
3. Responsabilidad de los consejos de administración: La NIS-2 pone un fuerte énfasis en la gobernanza, lo que significa que los miembros del consejo y los altos ejecutivos son directamente responsables de las políticas de ciberseguridad y su cumplimiento. Así se garantiza que la ciberseguridad se trate como una prioridad estratégica y no sólo como una cuestión informática.
4. Seguridad de la cadena de suministro: Una de las características destacadas de la NIS-2 es la atención prestada a los riesgos en la cadena de suministro. Las empresas deben evaluar y gestionar los riesgos que plantean los vendedores y proveedores de servicios externos y garantizar que las medidas de seguridad se extienden más allá de sus propias operaciones.

Sanciones en caso de incumplimiento

Para hacer cumplir la directiva, la NIS-2 introduce sanciones armonizadas y más estrictas en caso de incumplimiento. Las empresas que no tomen las medidas de ciberseguridad adecuadas o no informen de incidentes significativos se enfrentarán a multas severas, incluidas multas basadas en un porcentaje de la facturación anual, similares a las del Reglamento General de Protección de Datos.

La importancia de la trituración, la destrucción física y la desmagnetización para el cumplimiento de la Directiva NIS-2

Aunque gran parte de la Directiva NIS 2 se centra en la seguridad de las redes y sistemas digitales, la correcta eliminación de los soportes físicos es igualmente importante para una ciberseguridad integral. Los datos confidenciales almacenados en dispositivos físicos como discos duros, cintas magnéticas, unidades USB e incluso CD siguen estando en peligro aunque ya no se utilicen. Si se eliminan de forma inadecuada, los atacantes pueden recuperar información confidencial de estos dispositivos, lo que puede dar lugar a posibles violaciones de la seguridad y a fuertes sanciones en virtud de la NIS-2.

Para cumplir los estrictos requisitos de la directiva, las empresas deben dar prioridad a métodos seguros de destrucción de datos como parte de su estrategia global de ciberseguridad.

ncorporar métodos como la trituración y la desmagnetización a las prácticas de ciberseguridad de una empresa no sólo es una buena práctica, sino que también es necesario para garantizar el cumplimiento de la NIS-2. He aquí las razones:

• Mitigación de las amenazas internas: Incluso en entornos de confianza, los soportes físicos que no se eliminan correctamente pueden ser objeto de manipulación indebida o robo. La destrucción y desmagnetización elimina el riesgo de que la información sensible caiga en las manos equivocadas.
• Protección de información sensible: Los sectores cubiertos por la NIS-2, como la sanidad, las finanzas y la energía, procesan a menudo información altamente sensible o clasificada. La eliminación segura de los soportes físicos de datos es esencial para evitar accesos no autorizados y mantener la confianza de los implicados.
• Evitar sanciones: La NIS-2 prevé sanciones estrictas en caso de incumplimiento, incluidas las violaciones de datos resultantes de la eliminación inadecuada de soportes de datos. Las organizaciones que no tomen las medidas adecuadas para la destrucción de datos pueden sufrir importantes daños financieros y de reputación.
• Apoyo a una estrategia integral de ciberseguridad: Al integrar los métodos de destrucción física de datos en un concepto más amplio de ciberseguridad, las empresas pueden garantizar que se cubren todos los aspectos de la protección de datos, tanto digitales como físicos.

A la luz del marco legal más estricto impuesto por la NIS-2, las empresas deben tomar todas las medidas necesarias para proteger tanto sus activos digitales como físicos. Destruir de forma segura los soportes de datos obsoletos mediante trituración o desmagnetización es un paso crucial para proteger la información sensible y garantizar el cumplimiento de la directiva.

Aplicación de la NIS-2: próximos pasos para las empresas

Con la NIS-2 en vigor desde el 17 de octubre de 2024, las empresas deben actuar ahora para garantizar su cumplimiento. He aquí algunos pasos importantes:

• Realice una auditoría de ciberseguridad: Identifique las áreas en las que su organización puede no cumplir con los requisitos de NIS 2 y desarrolle una hoja de ruta para cerrar estas brechas.
• Invierta en tecnología: Implante tecnologías de seguridad sólidas, como cortafuegos, cifrado, herramientas avanzadas de detección de amenazas para proteger los sistemas críticos y soluciones de destrucción de datos in situ, como desmagnetizadores o trituradoras.
• Refuerce los planes de respuesta a incidentes: Asegúrese de contar con un plan integral de respuesta a incidentes y procedimientos claros de información en caso de ciberataque.
• Colaboración en las cadenas de suministro: Colabore con proveedores y socios para garantizar que se aplican medidas de ciberseguridad en toda su cadena de suministro.

Conclusión

La Directiva NIS-2 es un punto de inflexión para la ciberseguridad en Europa. Al ampliar el ámbito de aplicación de la normativa a más sectores, aumentar las sanciones y hacer hincapié en la responsabilidad de los consejos de administración, la Directiva NIS-2 garantiza que las empresas de una amplia gama de sectores estén mejor preparadas para la creciente amenaza de los ciberataques.

Con la Directiva NIS-2 en vigor desde el 17 de octubre de 2024, ahora es el momento de que las empresas inviertan en su infraestructura y gobernanza de ciberseguridad para garantizar que no solo cumplen la normativa, sino que también son resistentes en un mundo cada vez más digital.

Para obtener una visión general de la Directiva NIS-2, descargue nuestra guía sobre la Directiva NIS-2.