En 2023, Europa experimentó un promedio de 1.557 ciberataques semanales por empresa, lo que supone un aumento del 86 % respecto al año anterior. Y es que, a medida que la digitalización y la transformación digital de las empresas avanza, sus infraestructuras de TI y OT cada vez están más integradas, lo que aumenta considerablemente el campo en el que pueden actuar los ciberdelincuentes. Además, estos cada vez realizan ataques más sofisticados, integrando herramientas de IA, por lo que los riesgos cada vez son mayores. Por ese motivo, la UE ha lanzado la NIS2, que busca dar prioridad a la ciberseguridad.
La Directiva NIS2 se dirige principalmente a organizaciones esenciales para la cadena de suministro de productos críticos de infraestructura. En nuestro trabajo diario, en Grupo Aire nos estamos encontrando a menudo con empresas de todo tipo que tras la lectura de la normativa aún tienen dudas sobre la forma en la que tienen que aplicarla. El mensaje que tratamos de transmitirles es que tienen que ser consecuentes y mejorar la gobernanza de su ciberseguridad, así como las medidas de gestión de riesgos, y prepararse para las nuevas obligaciones que vienen derivadas de esta normativa y que incluye la presentación de informes.
También les transmitimos que deben utilizar marcos reconocidos internacionalmente, como la serie ISA/IEC 62443 para seguridad OT, para cumplir los requisitos de cumplimiento necesarios.
Multas y responsabilidad penal
La Directiva NIS2 supone un gran salto en obligaciones respecto a la Directiva NIS inicial. La UE ahora impondrá:
Sanciones financieras: similares a las previstas en la legislación GDPR, a organizaciones que no cumplan dentro del plazo establecido.
- Entidades esenciales. 10 millones de euros o un 2 % de la facturación anual total mundial.
- Entidades importantes. 7 millones de euros o un 1,4 % de la facturación anual total mundial.
Multas administrativas: las autoridades competentes pueden imponer multas administrativas por incumplimiento de obligaciones específicas en virtud de la directiva.
Medidas correctivas: es posible que requieran a las entidades que implementen medidas correctivas específicas para abordar el incumplimiento identificado.
Responsabilidad por daños: las entidades que no cumplan con sus obligaciones según NIS 2 también pueden ser responsables de los daños causados .
Además habrá repercusiones para los ejecutivos de nivel C en organizaciones que no cumplen con la Directiva NIS2, incluidas posibles restricciones a los puestos que ocupan dentro de las juntas ejecutivas.
Puedes leer en nuestra web la guía de mejores prácticas para aplicar la NIS2.