La nueva Directiva NIS2: Novedades e implicaciones de las empresas en Ciberseguridad

Con el avance de las Nuevas tecnologías, especialmente con el desarrollo de Internet, ha hecho que las redes y sistemas de información desempeñen actualmente un papel crucial en nuestra sociedad, siendo su fiabilidad y seguridad aspectos esenciales para el desarrollo normal de las actividades económicas y sociales. Los incidentes, al afectar a las redes y sistemas de información, alteran dichas actividades, representan una grave amenaza, pues tanto si son fortuitos como si provienen de acciones deliberadas pueden generar pérdidas financieras, menoscabar la confianza de la población y, en definitiva, causar graves daños a la economía y a la sociedad, con la posibilidad de afectar a la propia seguridad nacional.

La Comisión Europea aprobó en 2016 la Directiva NIS1 con el objetivo de mejorar la prevención y resiliencia de las redes y sistemas de comunicación públicos y privados de la UE dentro del Mercado Digital único.

Por el rápido avance de las nuevas tecnologías, la Comisión Europea realizó una revisión y evaluación, considerando necesaria la actualización de pautas normativas en ciberseguridad, propuesta a través de la Directiva (UE) medidas destinadas a garantizar un elevado nivel común de ciberseguridad y por la que se deroga la Directiva (UE) 2016/1148, bautizada como Directiva NIS2.

La nueva Directiva introduce una serie de novedades con el objetivo de alcanzar un nivel común de ciberseguridad:

1. Se hace una diferenciación entre entidades esenciales y entidades importantes, siendo las primeras aquellas con mayor criticidad.
2. Medidas técnicas y organizativas concretas: 

• Las empresas deberán implementar medidas técnicas y organizativas de manera obligatoria.
• Notificación de incidentes de ciberseguridad: En la NIS1 ya se regulaba la obligación de notificar al CSIRT o a la autoridad competente un incidente significativo. En la nueva Directiva, el incidente deberá ser notificado al público si es necesario para evitar un incidente significativo. La autoridad competente o el CSIRT será el responsable de informar al público.
• Obligación de subsanación del incidente: La autoridad competente o el CSIRT adquiere competencias para actuar sobre la empresa en el caso en que las medidas que hayan implementado para la subsanación del incidente resulten ineficaces.
• Responsabilidad legal: La Directiva contempla que la normativa de trasposición deberá regular un régimen sancionador donde se prevean herramientas para obligarle a adoptar, sin demora indebida, todas las medidas correctoras apropiadas y proporcionadas necesarias. En caso de no hacerlo, deberán contemplarse medidas legales para exigirle responsabilidades legales, tanto a los representantes de la entidad infractora como, en determinados supuestos regulados en el compliance, a la propia persona jurídica. Asimismo, los órganos de dirección tendrán responsabilidad legal por incumplimientos de las obligaciones de esta directiva.  

• Formación obligatoria: Los órganos de dirección deberán recibir formaciones obligatorias y, además, ofrecer formaciones similares a sus empleados.

El incumplimiento de esta normativa puede causar grandes pérdidas económicas, que en el caso de entidades esenciales será de un máximo de, al menos, 10 000 000 EUR o de un máximo de, al menos, el 2 % del volumen de negocios anual y en el caso de entidades importantes será de un de, al menos, 7 000 000 EUR o de un máximo de, al menos, el 1,4 % del volumen de negocios anual.

No obstante, esta Directiva tendrá que ser regulada por cada Estado miembro cuya transposición será a más tardar el 17 de octubre de 2024, aplicando las disposiciones de la Directiva a partir del 18 de octubre de 2024.

María Jiménez García

Consultor de Helas Consultores