NIS2: cinco fundamentos que cambiarán la ciberseguridad corporativa

La futura Ley de Coordinación y Gobernanza de la Ciberseguridad podría afectar a más de 33.000 empresas de sectores altamente críticos y esenciales

Jacinto Cavestany, CEO de Evolutio. Foto: LinkedIn. Portal ERP España.

El Consejo de Ministros tramitó recientemente el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad por la vía de urgencia, que supone la transposición de la Directiva de Seguridad de Red e Información 2 (NIS2) europea, aprobada en enero de 2023. Este marco jurídico busca proteger los sistemas de redes e información, y sus usuarios, frente a incidentes y ciberamenazas en sectores críticos. Impone obligaciones legales a sectores esenciales y servicios digitales, con un enfoque específico para la UE, y objetivos de fortalecer tanto la ciberseguridad como la resiliencia.

“Los ciberdelincuentes no cesan en sus intentos de ataque contra empresas de todo tipo y tamaño mediante tácticas, técnicas y procedimientos cada vez más sofisticados que incrementan sus probabilidades de éxito. Proteger los sistemas y las redes corporativas, poniendo a salvo la información y garantizando la continuidad de negocio será ahora más esencial que nunca”, señala Jacinto Cavestany, CEO de Evolutio, compañía tecnológica especializada en integración de servicios cloud y ciberseguridad.

Te puede interesar: Entra en vigor el reglamento DORA para el sector financiero europeo

Ante la transposición de NIS2, Evolutio ha analizado los cinco puntos clave y cómo impactará esta nueva regulación en las estrategias de ciberdefensa desarrolladas por las organizaciones:

1. Identificar las entidades esenciales e importantes: La NIS2 concierne a entidades públicas o privadas especializadas en áreas de alta criticidad como energía, transporte, banca y mercados financieros, sanidad, agua, infraestructuras digitales y servicios tecnológicos, administraciones e industria nuclear. Otros sectores afectados incluyen servicios postales y de mensajería, gestión de residuos, fabricación de sustancias químicas, producción de alimentos, proveedores de servicios digitales, investigación científica y seguridad privada. En España, 33.072 empresas con más de 50 empleados estarían afectadas por la NIS2. La fecha límite para elaborar un listado de entidades esenciales es el 17 de abril de 2025.
2. Planificación con medidas adecuadas y proporcionales: Las entidades esenciales deberán llevar a cabo medidas de gestión de riesgos en sus redes y sistemas de información. Esta planificación debe incluir políticas de seguridad, análisis de amenazas, procedimientos de detección y respuesta, planes de crisis, seguridad de relaciones con prestadores de servicios, evaluación de medidas y programas de formación continua.
3. Gestión de riesgos de la cadena de suministro: Los procesos tecnológicos involucrados en la entrega de productos o servicios serán evaluados bajo la NIS2. Las entidades esenciales deberán realizar acuerdos contractuales con sus proveedores para garantizar la seguridad y analizar la calidad y resiliencia de los productos contratados.
4. Responsabilidad desde dentro de la organización: La alta dirección será responsable de aprobar y supervisar las medidas de ciberseguridad y de adquirir conocimientos en gestión de riesgos. La implementación de la NIS2 ha aumentado el gasto en ciberseguridad en la UE, con la seguridad de la información representando el 9% de las inversiones de TI en 2023.
5. Obligación de notificar incidentes significativos: Cualquier incidente, ciberamenaza o "cuasiincidente" deberá informarse a los equipos de ciberseguridad y gestión de incidentes españoles (CSIRT) o a la autoridad competente. La notificación temprana debe realizarse en 24 horas, y una evaluación inicial en 72 horas.

“La NIS2 eleva la ambición en ciberseguridad de la UE con una aplicación más extensa, normas más claras y una supervisión más sólida. En Evolutio creemos firmemente que todo dentro del negocio y su operativa tendrá que ver con la ciberseguridad”, concluye Cavestany.