Las redes y los sistemas de información desempeñan un papel crucial en la sociedad y en nuestra vida cotidiana gracias a la transformación digital. Sin embargo, de forma paralela, esta evolución ha provocado también una expansión de las ciberamenazas.
Esto supone un importante desafío para lograr respuestas inmediatas, adaptadas y coordinadas por parte de la Unión Europea, que, a través de diferentes normativas, está realizando esfuerzos significativos para garantizar la seguridad informática de sus ciudadanos. Así lo demostró con la “Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo”, más conocida como directiva NIS.
En el marco de esta Directiva, uno de los principales problemas que quedaban sin resolver eran las divergencias tan pronunciadas entre los Estados miembros en la aplicación de las medidas en materia de ciberseguridad, que generaba mayor vulnerabilidad en algunos de ellos frente a los ciberataques con efectos que se podrían sentir en toda la Unión. De ahí surge la “Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo”, más conocida como Directiva NIS2, con el objetivo principal de mejorar la protección de la ciberseguridad de los consumidores y las empresas. Para ello, ha establecido requisitos mínimos comunes para gestionar los riesgos en seguridad y notificar los incidentes a las Autoridades Nacionales Competentes de manera coordinada.
Aplicación de Directiva NIS 2
La Directiva NIS 2 ha ampliado y especificado la definición de prestadores de servicios esenciales para incluir a los prestadores cualificados de servicios de confianza. De esta manera, se amplía el ámbito de aplicación por sectores a una parte más extensa de la economía, con el fin de ofrecer una cobertura completa de los sectores y servicios esenciales para las actividades sociales y económicas. Además, cabe destacar que se prevén recursos y sanciones para garantizar su cumplimiento efectivo.
Esta normativa acaba con la voluntariedad, de manera que obliga a las empresas a ser responsables, tomar medidas de protección para controlar, gestionar y supervisar los riesgos y seguir mejorando la resiliencia y la capacidad de respuesta. Todo ello con un fin: minimizar la vulnerabilidad del nivel general de seguridad de las redes y sistemas de información de la Unión.
Obligaciones en materia de ciberseguridad
Además, la Directiva NIS2 incide mucho en la importancia de adoptar una gran variedad de prácticas básicas de ciberhigiene como puede ser los principios de confianza cero, las actualizaciones de software, la configuración de dispositivos, la segmentación de la red, la gestión de la identidad, el acceso o la concienciación de los usuarios y la organización de formaciones para su personal y sensibilizar sobre las ciberamenazas. Una manera clara de ayudar a mejorar la detección y la prevención de ciberataques.
Prueba de ello es que, con la nueva normativa, las certificaciones y las auditorías, que antes eran una recomendación o signo de buenas prácticas, ahora pasan a ser obligatorias para este tipo de empresas. Además, las empresas deben contar con la figura del Responsable de Seguridad. El CISO que debe ser una persona debidamente cualificada y dedicada exclusivamente a la gestión de la ciberseguridad de la empresa.
Antes de su aprobación, Grupo Logalty ya había cumplido con la mayoría de los requisitos de la nueva Directiva NIS 2. La empresa, dadas las diferentes certificaciones de seguridad de las que dispone, había sido auditada por una empresa externa. Oscar Conesa, CISO del Grupo, destaca que esta directiva está orientada a la importancia de que tanto los gobiernos como las empresas estén preparados, asuman responsabilidades y tomen todas las medidas necesarias para garantizar la ciberseguridad en todos los países miembros.
