La ciberseguridad en la Unión Europea. NIS2

En esta sección de la revista Actualidad de las Empresas Aragonesas hemos dedicado abundantes artículos demostrando el auge que iban tomando nuevas regulaciones, normativas y sus correspondientes certificaciones a cumplir por las empresas y otras organizaciones. Pues bien, ahora nos toca presentar la directiva NIS2, sobre la Ciberseguridad en la Unión Europea.

Pero antes vamos a dar algunas cifras de los ciberdelitos ocurridos en España en los últimos años, que proceden del Instituto Nacional de Ciberseguridad (INCIBE): En el año 2.020 hubo 133.995, en 2.021 se elevó la cifra a 292.295 y en el 2.022, se alcanzaron los 374.777 ciberataques. Pero esto no para aquí, en la segunda mitad de 2.023 se incrementó en un 111 %. En el ranking de estos delitos España alcanza un “honroso” primer puesto de la Unión Europea y además somos los terceros del mundo, detrás de EE.UU. y Japón. Además, está claro que esto de la falta de ciberseguridad nos está maltratando con muchas pérdidas económicas.

Con esta Directiva NIS2, la Unión Europea pretende crear un nivel común de ciberseguridad en todos los países miembros, armonizando medidas y enfoques para proteger la infraestructura digital y así prevenir los ciberataques. Con esta NIS2, se amplía el campo de aplicación de la anterior directiva NIS1, con más sectores, subsectores y tipos de entidades, afectando a medianas y grandes empresas, con independencia de su tamaño. Esta nueva versión, divide su aplicación en organizaciones esenciales e importantes, con diferentes exigencias para cada una de ellas.

Sobre los contenidos que hay que aplicar de la NIS2, se establece una nueva forma de gestión de sus riesgos de los ciberataques, lo que obliga a que los órganos de dirección de las  empresas tienen que asumir la responsabilidad de aprobar medidas de gestión de esos riesgos y, por supuesto, supervisar su aplicación y si no se cumplen estos requisitos podrían tener efectos en la responsabilidad, prohibiciones temporales y multas administrativas, que van de un mínimo de siete millones de euros a un máximo del 1,4 % del volumen de negocio anual total, es decir de todas las empresas que formen parte del grupo global.

Como casi siempre, en esta Directiva también se incluye la necesidad de tener en cuenta los riesgos dentro de su cadena de suministros, con lo cual quedan incluidas hasta las pequeñas empresas, aunque de una manera directa, la NIS2 no las contempla, ya que solo es de obligado cumplimiento para para las medianas y grandes empresas; de esta manera ya están cubiertas por la Directiva todos los grupos de empresas.

No solo se deben identificar y registrar los ciberataques, entre otras exigencias, también la NIS2 cita como algo muy necesario la formación, empezando en primer lugar por la de los altos equipos directivos, para asegurar que tienen suficientes conocimientos y habilidades para poder asumir sus responsabilidades en materia de NIS2 y, en segundo lugar, se llevará a cabo una formación de contenidos similares a la anterior, para los empleados de las diferentes organizaciones.

En los anexos I y II se incluyen los sectores de alto riesgo ante los ciberataques, junto a otros sectores críticos, y en el anexo III se presenta una tabla con las correlaciones correspondientes.

Esta Directiva NIS2 entró en vigor el 16 de enero de 2.023, fijando el plazo del 17 de octubre de 2.024 para llevar la transposición a las legislaciones nacionales. Hasta el momento no se dispone de ninguna regulación en España al respecto, por lo tanto, las diferentes organizaciones tendrán que valerse con el texto de la Directiva que se publicó al día siguiente de aprobarse, es decir el 17 de enero de 2.023.

Si con esta Directiva se puede asegurar que no se producen ciberataques, se habrá conseguido reducir e incluso eliminar pérdidas enormes en las grandes y medianas empresas; algunos de ellos ya se han producido en grandes organizaciones provocando situaciones próximas al caos en sus diferentes sistemas de gestión.