Sanciones más duras, plazos de notificación más cortos y otros cambios que introducirá la NIS2

La legislación sobre ciberseguridad se reforzará en Europa con la introducción de la Directiva NIS2, evolución de la normativa vigente desde hace más de un lustro. La nueva Directiva entrará en vigor a finales de año, con el objetivo de alinear esfuerzos en toda la Unión Europea y garantizar la resiliencia de las infraestructuras críticas.

Los Estados miembros tendrán de plazo hasta el mes de septiembre de 2024 para transponerla a su legislación nacional.

Entonces serán cinco los grandes cambios que se dejarán notar en países como España, empezando por un alcance más amplio. La NIS2 será obligatoria para entidades de más de 250 empleados y 50 millones de euros de facturación anual o un balance superior a los 43 millones de euros anuales. Esto será así para una amplia lista de sectores.

“En determinadas circunstancias, las entidades deben cumplir independientemente del tamaño de la empresa, como los proveedores de redes de comunicaciones electrónicas”, apunta la compañía de seguridad CyberArk, que publica la lista de cambios y recuerda que “depende de cada Estado miembro clasificar estas entidades como ‘esenciales’ (en el caso de los operadores de infraestructura crítica o ciertos fabricantes) o ‘importantes’ (proveedores de servicios digitales o proveedores de servicios gestionados)”.

Otra novedad es el endurecimiento de los requisitos de seguridad, con medidas de referencia como las políticas para el sistema de información, el análisis de riesgos y la evaluación de la eficacia de las medidas de gestión, la respuesta a incidentes, la continuidad del negocio, la gestión de crisis, la protección de la cadena de suministro, el cifrado y la divulgación de vulnerabilidades.

Con NIS2 habrá plazos más cortos para la notificación de incidentes. Una empresa afectada por un problema de seguridad deberá presentar un informe a las autoridades en las 24 horas posteriores a su conocimiento. Tras este informe inicial, deberán acometer una actualización del mismo pasado un mes.

Las sanciones por incumplimiento serán más duras, llegando al 2 % de la facturación anual de las compañías o hasta 10 millones de euros, lo que implique una mayor cuantía.

Por último, los órganos de gestión deberán implementar y cumplir con las medidas de seguridad. Es decir, se introduce la necesidad de la supervisión y la rendición de cuentas por parte del Consejo de Administración.

Mónica Tilves

Licenciada en Xornalismo por la Universidad de Santiago de Compostela en la especialidad de Periodismo Electrónico y Multimedia. Apasionada de los gadgets, la fotografía digital, el diseño web y el arte. Tras un primer contacto con el mundo de la prensa escrita y con la suficiencia investigadora debajo del brazo, me decanto por los medios online. Cubro la actualidad informativa en Silicon Week desde 2011, además de colaborar en otras publicaciones del grupo NetMediaEurope en España como Silicon News. Ahora en Silicon.es.

Recent Posts

DigitalES presenta el primer Libro Blanco de la IA Generativa

DigitalES analiza en su Libro Blanco de la IA Generativa el impacto que tendrá esta…

2 días ago

NetApp, el fabricante de almacenamiento que todos los proveedores cloud quieren tener como socio

En un momento donde los datos tienen más valor que nunca pero también generan una…

2 días ago

TOUGHBOOK 40mk2, un portátil con procesamiento de IA

Esta versión del TOUGHBOOK 40 incluye entre sus especificaciones la unidad de procesamiento neuronal Intel…

2 días ago

Crece el gasto de los hogares españoles en paquetes de telecomunicaciones

El precio medio del paquete cuádruple (telefonía fija y móvil, banda ancha fija y móvil)…

3 días ago

Amazon Business añade nuevas funcionalidades

Entre ellas destacan un Centro de aplicaciones y un Sistema de gestión de identidades entre…

3 días ago

Zscaler y Google impulsan el viaje hacia ‘zero trust’ de los usuarios empresariales

Su asociación evita el uso de redes VPN tradicionales y se basa en Chrome Enterprise,…

3 días ago