Riesgos de multas por nuevas reglas cibernéticas

Nuevas Regulaciones de Ciberseguridad en la Unión Europea

Introducción a NIS 2

El 17 de octubre se marcará como un día crucial para las empresas que operan en la Unión Europea. A partir de esta fecha, las organizaciones deberán cumplir con las nuevas regulaciones de ciberseguridad establecidas por la directiva NIS 2. Este conjunto de normas tiene como objetivo fortalecer la seguridad de los sistemas de información y las redes en la región. Las empresas que no se alineen con estos requisitos podrían enfrentar multas significativas o incluso suspensiones de servicio.

¿Qué es la Directiva NIS 2?

La directiva NIS 2, que significa Directiva de Seguridad de Redes y Sistemas de Información 2, es una actualización de una normativa anterior conocida simplemente como NIS. Esta nueva ley, introducida en 2020, se expande para abordar los desafíos y amenazas cibernéticas más recientes. Los criminales han encontrado nuevas formas de atacar a las empresas y comprometer datos sensibles, lo que hace que estas regulaciones sean aún más necesarias.

Alcance y Aplicación de NIS 2

NIS 2 se aplica a una variedad de organizaciones que ofrecen servicios esenciales a los consumidores dentro de la UE. Esto incluye:

• Bancos

• Proveedores de energía

• Instituciones de salud

• Proveedores de internet

• Empresas de transporte

• Servicios de gestión de residuos

Requisitos Clave de NIS 2

Los requisitos establecidos por NIS 2 son más exigentes en comparación con su predecesor. Las áreas principales que se abordarán incluyen:

• Gestión de riesgos

• Responsabilidad corporativa

• Obligaciones de informes

• Planificación de continuidad empresarial en caso de un ciberincidente

Bajo estas nuevas regulaciones, las empresas también deberán examinar sus cadenas de suministro digitales para identificar amenazas y vulnerabilidades cibernéticas.

Consecuencias de la No Conformidad

Las empresas que no cumplan con NIS 2 se enfrentarán a multas severas. Para las entidades consideradas esenciales, como las del sector del transporte, finanzas y agua, las multas pueden ascender hasta 10 millones de euros (aproximadamente 11.1 millones de dólares) o el 2% de sus ingresos anuales globales, lo que sea mayor. Por otro lado, las empresas clasificadas como no esenciales, como las del sector alimentario o químico, pueden enfrentar multas de hasta 7 millones de euros o el 1.4% de sus ingresos globales.

Además de las multas, las empresas pueden sufrir suspensiones de servicio si no cumplen con las regulaciones. En caso de un ciberincidente, las organizaciones tendrán un plazo de 24 horas para notificar a las autoridades.

Preparación para NIS 2

La preparación para la implementación de NIS 2 no debe ser vista como un simple cumplimiento de requisitos mínimos. En cambio, las organizaciones más fuertes están utilizando esta oportunidad para mejorar sus procesos internos y su cultura de ciberseguridad. A medida que se acerca el plazo del 17 de octubre, muchas empresas están trabajando arduamente para asegurarse de que sus controles y procesos estén en orden.

Enfoque en la Cultura de Ciberseguridad

A pesar de que la ciberseguridad se ha convertido en un tema prioritario en las juntas directivas, los ataques cibernéticos continúan ocurriendo. Es importante no caer en la trampa de pensar que las nuevas regulaciones por sí solas pueden prevenir futuros incidentes. Sin embargo, NIS 2 ha ayudado a centrar la atención y los recursos en cómo las empresas pueden mejorar sus niveles de seguridad general.