La NIS 2 se retrasa: cómo anticiparse a su obligatoriedad

El 17 de octubre de 2023, entró en vigor la normativa europea NIS 2, que establece nuevas y rigurosas obligaciones en materia de ciberseguridad para las empresas de sectores críticos y esenciales. Sin embargo, en España aún no se ha adaptado a la legislación nacional, lo que significa que la obligatoriedad de cumplir con estos requisitos todavía no está vigente. A pesar de este retraso, las empresas afectadas por la nueva normativa deben empezar a prepararse para evitar severas sanciones económicas.

La Directiva NIS 2 ampliará el alcance de la normativa de ciberseguridad vigente desde 2016, con el objetivo de mejorar la seguridad de las infraestructuras digitales y los servicios esenciales a nivel europeo. En total, más de 100,000 empresas de toda Europa deberán ajustarse a sus disposiciones. En España, la falta de adaptación legislativa no detiene la urgencia de tomar medidas preventivas, dado que los ataques cibernéticos han aumentado drásticamente: en 2023, el país registró 107,777 ciberataques, un aumento del 94% respecto al año anterior.

TÜV Rheinland, una reconocida certificadora mundial, ha elaborado una guía práctica para ayudar a las empresas afectadas a anticiparse a la obligatoriedad de la NIS 2. Entre los pasos esenciales destacan: identificar si la empresa forma parte de los sectores críticos, definir un modelo de gobernanza de ciberseguridad, asegurar la seguridad en toda la cadena de suministro y establecer un plan de continuidad ante ciberataques. Además, es crucial sensibilizar a los empleados sobre la importancia de la ciberseguridad y asignar un presupuesto anual para cumplir con los estándares de la normativa.

El incumplimiento de la NIS 2 podría acarrear sanciones millonarias. Para las entidades esenciales, las multas podrían llegar hasta los 10 millones de euros o el 2% de su facturación anual global. En el caso de las entidades importantes, las sanciones podrían ascender hasta los 7 millones de euros o el 1,4% de sus ingresos anuales.

Rubén Fusté, Sales Manager de Servicios Industriales y Ciberseguridad de TÜV Rheinland España, destaca la importancia de que las empresas realicen un análisis de brechas para identificar posibles fallos en su ciberseguridad y empiecen a implementar medidas concretas para mitigar los riesgos. Para 2025, las organizaciones deberán asignar presupuesto específico para la gestión de la ciberseguridad, desarrollar una gobernanza clara y garantizar la seguridad a lo largo de su cadena de suministro.

La NIS 2 representa una oportunidad para fortalecer la seguridad digital en España, una necesidad crítica en un contexto global cada vez más vulnerable a los ciberataques. A pesar del retraso en su implementación, es imperativo que las empresas se adelanten a su obligatoriedad para protegerse y evitar sanciones.