Con la finalidad de reforzar la seguridad de las redes y los sistemas de información de infraestructuras críticas y sensibles de todos sus Estados miembros, la Unión Europea ha publicado el pasado diciembre la directiva NIS2, que sustituye a la actualmente vigente directiva para la Seguridad de las Redes y la Información (NIS, por sus iniciales en inglés). La NIS2 forma parte de la estrategia global de ciberseguridad de la Unión y trae importantes novedades entre las que destacan las que destacan las relacionadas con la responsabilidad de los órganos de dirección y sus miembros. Cada Estado miembro debe de transponerla a su normativa nacional antes del 15 de octubre de 2024.
El alcance de la NIS2 se ha ampliado bastante y ahora estará ‘limitado’ a las medianas y grandes empresas de los sectores que considera esenciales (11 sectores) e importantes (siete), pero no sólo a afecta a estas. En el caso de que se trate de proveedores de comunicaciones, prestadores de servicios de confianza o proveedores de nombres de dominio, no importa el tamaño.
Los órganos de dirección de las entidades esenciales e importantes deben aprobar las medidas para la gestión de riesgos de ciberseguridad que adopten sus entidades, supervisar su puesta en práctica y responder por el incumplimiento. Y la falta de conocimiento específico sobre ciberseguridad no es óbice, dado que también se obliga a que los miembros de los órganos de dirección de las entidades esenciales e importantes asistan a formaciones, con el fin de adquirir conocimientos y destrezas suficientes que les permitan detectar riesgos y evaluar las prácticas de gestión de riesgos de ciberseguridad y su repercusión en los servicios proporcionados por la entidad. También deben recibir formaciones similares los empleados de forma periódica.
Las hay, tanto para la empresa como para los directivos.
Para la empresa ha aumentado la cuantía de las sanciones. Mientras que en la normativa vigente el límite superior de una multa estaba en el millón de euros, la NIS2 establece que el incumplimiento puede suponer una penalización que podrían alcanzar el dos por ciento de la facturación global anual o 10 millones de euros, en caso de las esenciales, o 7 millones de euros o el 1,4% de la facturación global anual, para las importantes (la cantidad que sea mayor en cada caso).
Por otro lado, los miembros de los órganos directivos de estas entidades pueden ser sancionados a nivel personal en el caso de demostrarse incumplimiento grave de sus obligaciones en la notificación y gestión de incidentes, con penas que pueden implicar su exposición pública y la prohibición temporal para ejercer cargos directivos.
Las autoridades competentes podrán solicitar pruebas de la aplicación de las políticas de ciberseguridad, para lo que servirán, como prueba de cumplimiento, los resultados de las auditorías de seguridad realizadas por un tercero cualificado y las correspondientes pruebas subyacentes.
La calificación de ciberseguridad ofrece una solución a tres aspectos fundamentales:
Para los órganos de dirección, la calificación de los servicios prestados por la organización acredita su debida diligencia en el control y seguimiento de la aplicación efectiva de las medidas de seguridad que deben implementarse para una apropiada gestión de los riesgos.
Para la propia organización, pueden utilizarla ante las autoridades competentes como prueba de aplicación de las políticas de ciberseguridad y mostrar el resultado de las auditorías, realizadas por un auditor cualificado.
Para gestionar los riesgos y seguridad de la cadena de suministro, solicitando que las organizaciones implicadas dispongan asimismo del nivel de calificación adecuado para sus propios servicios, y así garantizar a su vez el cumplimiento de las mismas políticas de ciberseguridad.
All you need is LEET!
Recibe nuestras notificaciones desde este enlace