Todos los profesionales de la ciberseguridad que se encuentren trabajando, bien en el ámbito público o en la esfera privada de medianas/grandes empresas necesariamente han tenido que estar trabajando en esta Directiva para asegurar que sus respectivas organizaciones o instituciones cumplan con lo que se exige en este set de medidas.

Tal y como explican desde la empresa de ciberseguridad Kaspersky, esta directiva se aplica solamente a determinadas entidades de sectores específicos, clasificándolas como entidades esenciales o importantes, y obligándolas a cumplir una serie de requisitos con diferencias en las medidas de supervisión y las sanciones, según a qué categoría de las dos antes mencionadas se suscriben.

Durante los últimos años, hemos visto cómo el número de ciberataques dirigidos a empresas ha aumentado sin pasar. De hecho, España es uno de los países más afectados por este tipo de ataques. En el primer semestre de 2024, éramos el quinto país que más ciberataques a empresas recibió a nivel mundial, de ahí que las filtraciones de datos han sido un tema sonado en titulares durante los últimos meses.

Estos ciberataques normalmente consisten en ransomware, esto es, secuestro de datos que obliguen a las empresas a pagar una suma de dinero por recuperar archivos e información. Pero no solo entrañan un riesgo económico, sino también institucional o geopolítico, en caso de que lleguen a afectar a infraestructuras sensibles como el sistema bancario, energético o médico. Es en este contexto que desde la Unión Europea buscan reforzar al máximo la integridad de los sistemas informáticos de las grandes empresas.

Qué medidas incluye la NIS 2

La Directiva NIS 2 formaliza una serie de requisitos que las compañías relevantes de cada economía deben cumplir para asegurar que la integridad de sus datos y de sus clientes o usuarios está a salvo.

Entre estos se encuentran requisitos relacionados con el análisis de riesgos, la seguridad de los sistemas de información, la gestión de incidentes, la continuidad de las actividades, la seguridad de la cadena de suministro, la adquisición de redes y sistemas de información, las prácticas básicas de higiene digital, la formación en ciberseguridad, el uso de criptografía, la seguridad de los recursos humanos, las políticas de control de acceso y la gestión de activos, como indican desde Kaspersky.

Por ejemplo, se establece la obligación de que las empresas notifiquen y colaboren con gobiernos y autoridades al ser conscientes de sufrir un ciberataque, así como se insta a evaluar y monitorizar los riesgos para tener una actitud activa frente a las posibles amenazas.

El no cumplimiento de estos estándares y protocolos acarreará multas para las empresas que por su envergadura entren en las clasificaciones dadas. En concreto, las sanciones pueden ser de hasta 10 millones de euros o el 2% del volumen de negocios anual mundial para las entidades esenciales, y de hasta 7 millones de euros o el 1,4% para las entidades importantes.

A qué sectores afecta

Como decíamos, esta directiva va dirigida a empresas que formen parte de «sectores de alta criticidad». Los sectores considerados «esenciales» son:

• Energía
• Agua potable
• Empresas de transporte
• Infraestructura digital
• Bancos
• Aguas residuales
• Infraestructura del mercado financiero
• Gestión de servicios TIC (B2B)
• Salud
• Administración pública
• Espacio

Por otro lado, los sectores considerados «importantes» u «otros sectores críticos» son:

• Servicios postales y de mensajería
• Producción y distribución de alimentos
• Residuos, operaciones y mantenimiento
• Industria
• Fabricación y distribución de productos químicos
• Investigación
• Proveedores digitales

No obstante, cualquier pyme o startup, sobre todo las que recojan información personal de sus clientes, deberían trabajar constantemente en la ciberseguridad para evitar fugas de datos.