La Nueva Ley de Ciberseguridad de la UE Comienza de Manera Complicada

Un Inicio Difícil para la Directiva NIS 2

La nueva directiva NIS 2 de la Unión Europea, que busca fortalecer la ciberseguridad de las empresas, ha tenido un comienzo complicado. Muchos países miembros no han logrado adoptar las nuevas reglas a tiempo, lo que ha generado preocupación sobre su efectividad. Según un seguimiento realizado por la DNS Research Federation, dos naciones, Portugal y Bulgaria, aún no han iniciado el proceso de transposición de la directiva, lo que significa que no han integrado las nuevas normas en sus legislaciones nacionales.

Desafíos en la Implementación

A partir del jueves, la directiva se convirtió oficialmente en obligatoria para los estados miembros. Esto implica que las empresas deben asegurarse de que sus operaciones cumplan con las nuevas exigencias. Sin embargo, la realidad es que la implementación varía significativamente entre los países de la UE. Tim Wright, un abogado especializado en tecnología, señala que la efectividad de NIS 2 dependerá en gran medida de la aplicación consistente de las normas en todos los estados miembros.

La Necesidad de Mejorar la Ciberseguridad

La directiva NIS 2, que se propuso en 2020, es una actualización de una norma anterior. Esta nueva regulación ha ampliado el alcance de su predecesora para abordar desafíos recientes en el ámbito de la ciberseguridad. Los delincuentes han encontrado nuevas formas de atacar a las empresas, por lo que es crucial que las organizaciones que operan en la UE, como bancos, proveedores de energía y hospitales, fortalezcan sus defensas cibernéticas.

Obligaciones de las Empresas

Las empresas ahora tienen la responsabilidad de informar sobre vulnerabilidades y ataques cibernéticos, incluso si son víctimas de un ataque. Si una empresa sufre un ataque cibernético, debe notificar a las autoridades en un plazo de 24 horas, un tiempo más corto que el plazo de 72 horas establecido por el Reglamento General de Protección de Datos (GDPR).

Además, las empresas deben evaluar a sus proveedores de tecnología individualmente para detectar posibles amenazas. Esta nueva normativa establece un deber de cuidado que obliga a las organizaciones a compartir información relevante sobre ciberseguridad con otras empresas.

Consecuencias de No Cumplir

Para las entidades consideradas “esenciales”, como las compañías de transporte y finanzas, el incumplimiento de NIS 2 puede resultar en multas de hasta 10 millones de euros o el 2% de sus ingresos anuales globales, lo que sea mayor. Por otro lado, las empresas “importantes”, como las del sector alimentario y de gestión de residuos, enfrentan multas de hasta 7 millones de euros o el 1.4% de sus ingresos globales.

Las empresas también pueden enfrentar la suspensión de servicios si no cumplen con las nuevas regulaciones, lo que podría llevar a un monitoreo más estricto de sus operaciones.

Un Llamado a la Acción

Carl Leonard, estratega de ciberseguridad, destaca que NIS 2 establece un nuevo estándar en la gestión de riesgos y las medidas de mitigación que las empresas deben implementar. Esto incluye la gestión de incidentes, la capacitación del personal y la responsabilidad de la dirección. Con estas medidas, se espera que las organizaciones responsables de servicios críticos presten más atención a las amenazas de ciberseguridad y su respuesta ante ellas.

Adaptación Local y Desafíos para las Pequeñas Empresas

Chris Gow, líder de políticas públicas de Cisco en la UE, menciona que la implementación desigual de NIS 2 se ha visto agravada por la adaptación local de la ley. Esto ha creado discrepancias que pueden ser difíciles de manejar, especialmente para las pequeñas organizaciones que cuentan con recursos limitados. La falta de claridad y consistencia en la aplicación de la ley puede poner en desventaja a estas empresas, que ya enfrentan desafíos significativos en el ámbito de la ciberseguridad.

La Importancia de la Colaboración

La colaboración entre empresas será fundamental para abordar los desafíos que presenta NIS 2. La nueva regulación exige que las organizaciones compartan información sobre ciberamenazas y vulnerabilidades, lo que puede ayudar a crear una red más fuerte de defensa cibernética en toda la UE. Sin embargo, esto también plantea un desafío, ya que las empresas deben estar dispuestas a reconocer sus propias debilidades y compartir información sensible con sus pares.