Acompáñenos hoy en la evolución de la normativa de ciberseguridad de la Unión Europea (UE): la transición de la Directiva sobre seguridad de las redes y de la información (NIS) a la Directiva NIS2 mejorada. Desentrañaremos la génesis de la Directiva NIS, su homóloga más reciente NIS2, qué deben hacer las empresas para cumplir la normativa y, en definitiva, cómo la UE, a través de su legislación progresiva, está satisfaciendo las demandas de nuestro mundo cada vez más conectado y digitalmente complejo.

La génesis de la Directiva NIS

En 2016, la UE introdujo la NIS, la primera normativa de ciberseguridad aplicable a todos los países miembros. Se alentó a cada miembro a establecer su propio Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT) y autoridades nacionales competentes. 

La NIS pretendía cultivar una mentalidad que diera prioridad a la seguridad en todos los sectores que forman la columna vertebral de la economía y la sociedad, como la energía, el transporte, el agua, la banca, la sanidad y las infraestructuras digitales. Se pidió a las empresas que operan como operadores de servicios esenciales en estos sectores que aplicaran medidas de seguridad adecuadas y notificaran rápidamente los incidentes significativos a las autoridades nacionales.

La Directiva también se extendía a los proveedores de servicios digitales críticos, como motores de búsqueda, servicios de computación en nube y mercados en línea, inculcando un enfoque global de la ciberseguridad.

Intensificar el juego: La Directiva NIS2

Aunque la Directiva NIS supuso un paso importante en el refuerzo de las capacidades de ciberseguridad de los Estados miembros, su aplicación resultó complicada. El resultado fue un panorama fragmentado, con distintos grados de aplicación en el mercado interior.

A medida que el ámbito digital adquiere mayor relevancia en nuestras vidas, las ciberamenazas crecen en número y sofisticación. Consciente de ello, la Comisión decidió actualizar la Directiva NIS para reforzar los requisitos de seguridad, abordar la seguridad de la cadena de suministro, racionalizar las obligaciones de información e introducir medidas de supervisión y requisitos de ejecución más estrictos.

La nueva propuesta NIS2 elimina las distinciones entre OES y DSP, introduciendo una clasificación racionalizada de las entidades como esenciales o importantes. También amplía su ámbito de aplicación para incorporar nuevos sectores como la gestión de aguas residuales, la alimentación y el espacio, aplicándose a todas las empresas medianas y grandes de estos sectores. 

Los cambios también fomentan una mejor coordinación a la hora de revelar nuevas vulnerabilidades y la introducción de sanciones administrativas similares a las del RGPD. Se refuerzan los requisitos de seguridad, con disposiciones más claras sobre la notificación de incidentes y medidas más estrictas para las autoridades nacionales.

En conjunto, estos cambios armonizan los regímenes sancionadores en todos los Estados miembros y refuerzan la ciberseguridad de las principales tecnologías de la información y la comunicación a escala europea. Al ampliar su ámbito de aplicación, la NIS2 anima eficazmente a más entidades y sectores a reforzar sus defensas en materia de ciberseguridad. Este plan está llamado a mejorar sustancialmente la situación de la ciberseguridad en Europa a largo plazo.

De cara al futuro: Cumplimiento y más allá

Los Estados miembros deben transponer la Directiva NIS2 a la legislación nacional aplicable antes del 17 de octubre de 2024, y aplicar esas medidas a partir del 18 de octubre de 2024. Esto significa que las organizaciones se enfrentan ahora a la tarea de adoptar y publicar las medidas necesarias para cumplir con la aplicación local de la Directiva NIS2.

En vista de ello, se insta a las empresas a que inicien sus procesos de cumplimiento lo antes posible. Esto implica un examen exhaustivo de la postura de ciberseguridad de la organización, la identificación de posibles vulnerabilidades y la creación de defensas sólidas.

En última instancia, las mejoras de la Directiva NIS2 son una oportunidad para las organizaciones de toda la UE. Al adoptar las medidas necesarias para su cumplimiento, las empresas se alinean con la normativa y fortalecen sus operaciones, protegen a sus clientes y contribuyen a una Europa digital más resistente.

Antes de terminar, es importante mencionar una solución que puede ayudar a las organizaciones a cumplir con los requisitos de NIS2: GFI LanGuard. Durante más de una década, GFI LanGuard ha sido fundamental para ayudar a innumerables empresas de todo el mundo a gestionar y mantener la protección de puntos finales en sus redes. Al proporcionar una visibilidad completa de todos los elementos de la red, GFI LanGuard ayuda a detectar posibles vulnerabilidades y ofrece la posibilidad de parchear estas debilidades. 

Lea más acerca de cómo GFI LanGuard puede ayudar a las organizaciones a cumplir con la nueva normativa NIS2..