El plazo para transponer la Directiva NIS2 a la legislación nacional acabó ayer, y aunque todavía de manera oficial no se ha comunicado cómo se producirá esta transposición, que se espera que sea mediante un Real Decreto al igual que se hizo con su predecesora la directiva NIS1, las empresas afectadas por la norma tienen que empezar a tomar las medidas para cumplirla si no se quieren arriesgar a sufrir multas.
La directiva NIS2 afecta a las organizaciones que pertenecen a sectores de alta criticidad y a otros sectores críticos tanto del sector público como del privado que se consideren medianas o grandes empresas —según la Recomendación 2003/361/CE una mediana empresa ocupa entre 50 y 250 empleados, tiene un volumen de negocios que no excede los 50 millones de euros y un balance general anual que no excede los 43 millones de euros—. Con independencia de su tamaño, la directiva también establece otro tipo de entidades que tienen que cumplir las norma al operar en sectores considerados críticos.
Estas organizaciones tienen que reforzar su ciberseguridad y cumplir las medidas de gestión de riesgos en función del grado de criticidad de sus sectores, el tipo de servicio que prestan y de si se encuadra en la categoría de esencial e importante.
Si no se toman las medidas oportunas y no se cumple la norma las organizaciones se exponen a multas de hasta 10 millones de euros o el 2 % de su facturación global anual en el caso de entidades esenciales, pero en el caso de las entidades importantes la multa puede ascender hasta los 7 millones de euros o un máximo de un 1,4 % de su facturación global anual.
Para ayudar a las empresas a cumplir con la norma la industria de la ciberseguridad ha puesto en marcha distintas iniciativas. Desde INCIBE hasta el Centro Criptológico Nacional ofrecen información sobre la directiva para aclarar dudas sobre su contenido. Al mismo tiempo, otros actores del mercado de la ciberseguridad aconsejan a las empresas cómo pueden abordar la implementación de las medidas que les permitan cumplir con la norma.
Por ejemplo, Fortinet aconseja evaluar los riesgos de seguridad, no solo identificando los riesgos, sino también, la probabilidad e impacto de los ataques en los diversos aspectos del negocio. Realizar un inventario detallado de activos y procesos para entender qué está en juego y cómo responder; elaborar un registro de riesgos, mantener una postura de seguridad continua, proteger la cadena de suministro y implementar soluciones tecnológicas robustas desde el diseño, responsabilizando a los proveedores.
Entre sus consejos también figura designar responsables y notificar incidentes significativos en un plazo de 24 horas, con informes detallados en 72 horas y un mes. Adoptar un enfoque de confianza cero e implementar medidas para prevenir y responder a ataques de ransomware, incluyendo segmentación de red y autenticación multifactor son otras de sus recomendaciones.
Finalmente, el especialista en seguridad fomentar la colaboración y un enfoque integral en ciberseguridad, apoyándose en equipos especializados.
