martes, 4 de noviembre de 2025

Directiva NIS2



DIRECTIVA NIS2

Directiva o normativa dimanada de la Comisión Europea, que establece medidas con el objetivo común de obtener un alto nivel en ciberseguridad en todos los países de la UE. Mejorar, preparar y adaptar los sistemas y las estructuras ante los ciberataques es fundamental para normalizar el funcionamiento de los mercados.

Realmente las directrices van dirigidas a los Estados, para que organicen y marquen las pertinentes instrucciones y medidas. Entró en vigor en enero del 2023, y más en concreto en España en octubre del 2024. La directiva, amplia el alcance de las normativas, y a más sectores, de la original NIS.

En abril de este 2025, los Estados miembros deberían haber elaborado una lista de las entidades esenciales e importantes, así como de las entidades que prestan servicios de registro de nombres de dominio. Posteriormente, los Estados miembros revisarán la lista con regularidad, al menos cada dos años, y si procede, la actualizarán.

La versión 2 de esta directiva NIS (Network and Information Security o Seguridad de la Red y de la Información) amplia y determina los Sectores Críticos. Los afectados, son:

  •       Aeroespaciales
  •       Banca e Infraestructuras de Mercados financieros
  •       Determinadas estructuras de las AA.PP.
  •       Empresas de infraestructuras digitales, empresas de Gestión de servicios y servicios digitales
  •       Energía y Aguas (potables y residuales)
  •       Fabricación de determinados productos
  •       Gestión de residuos
  •       Industrias químicas
  •       Organismos de investigación
  •       Producción y distribución de productos de alimentación
  •       Sector sanitario
  •       Servicios postales y de mensajería
  •       Transporte

Obligaciones de las empresas afectadas. Establecer y aplicar un protocolo de medidas de ciberseguridad, del tipo de, definición de políticas de ciberseguridad, evaluación de riesgos, gestión y notificación de incidencias, garantizar la cadena de suministro, entre otras, así como tener designado un responsable de ciberseguridad. Respecto a las medidas a implementar, se contempla un listado mínimo de medidas técnicas, operativas y de organización. Existen aplicaciones con test, para conocer el grado de implantación.

¿Cuándo entró en vigor esta directiva? Oficialmente en octubre del 2024. Otra fecha importante en el proceso de implantación, abril 2025, fecha límite que tenían los estados para comunicar el listado de entidades esenciales e importantes obligadas. En consecuencia, las empresas afectadas, deberían tener implantada la normativa, o en el peor de los casos, en proceso de implantación. Los directivos deben tener claro, que no de hacerlo, se exponen a importantes sanciones.

¿Gasto o inversión? Las empresas, deben entender que realmente más que una nueva exigencia, es un reto, y sobre todo una oportunidad. El fortalecer la ciberseguridad, generará la confianza de proveedores y clientes, permitirá obtener un mejor grado de competitividad, y no deben de olvidar que los mercados cada vez son más exigentes y globales, llevando parejo la necesidad de un mayor control.

Pueden acceder a la directiva: Directiva (UE) 2022/2555 

Y en la página web, del INCIBE, se puede acceder a más información: 

https://www.incibe.es/incibe-cert/sectores-estrategicos/FAQNIS2

                                                                                                       Miguel Angel OTIN LLORO


Publicado por en
Etiquetas:

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)