Usamos cookies en nuestro sitio web para brindarte la experiencia más relevante recordando tus preferencias y visitas repetidas. Haz clic en "Aceptar todas las cookies" para disfrutar de esta web con todas las cookies, configura tus preferencias antes de aceptarlas, o utiliza el botón "Rechazar todas las cookies" para continuar sin aceptar.

Gestión de Cookies
Zona Privada Asociados   |   Boletines Compliance
 
FORMULARIO DE CONTACTO
Deseo suscribirme al Newsletter de la WCA
 

17/10/2024

Miles de empresas se disponen a asumir nuevas obligaciones en materia de ciberseguridad

La directiva NIS 2 se aplicará al día siguiente de su trasposición, cuya fecha tope es el próximo 17 de octubre

El próximo 17 de octubre concluye el plazo para la trasposición de la directiva NIS 2 sobre ciberseguridad al ordenamiento jurídico nacional, que será aplicable desde el día siguiente. Esta normativa europea sobre ciberseguridad complementa y actualiza la directiva NIS adoptada en 2016, extendiendo su marco de actuación y estableciendo un conjunto más detallado y exigente de responsabilidades a asumir por las entidades obligadas.

Una de sus principales novedades es que amplía su alcance a sectores que antes no estaban cubiertos. La norma de 2016 se aplicaba a seis sectores: banca, energía, agua, sanitario, transporte e infraestructura digital. La nueva directiva incluye ahora 12 sectores más y los divide a todos en dos grupos: los de alta criticidad y los críticos. “La NIS2 amplía su cobertura a sectores emergentes que también son considerados vitales para la seguridad y la economía”, comenta Boris Delgado, director de industria y TIC de Aenor.

Entre estos nuevos sectores que tienen que aplicar la nueva normativa de ciberseguridad están, por ejemplo, la gestión de servi­cios TIC o las infraestructuras de mercados financieros, dentro del grupo de alta criticidad, y todos los calificados como críticos: investigación, servicios postales, química, alimentación, proveedores digitales, gestión de residuos y fabricación. Asimismo, añade Marta Trabado, compliance specialist de A3Sec, la directiva NIS 2, a diferencia de la regulación anterior, también incluye a las pymes que operan en estos sectores si su impacto en la economía y en la sociedad es significativo.

En consecuencia, muchas industrias que anteriormente no estaban reguladas en términos de ciberseguridad deberán ahora cumplir con estrictas medidas de protección de sus sistemas de información. “Este cambio significa que un volumen considerable de empresas, tanto grandes como medianas (según estimaciones, alrededor de 100.000 entidades adicionales), deberán adaptarse a los nuevos requisitos.”, apunta Luis Latasa, socio del departamento de derecho digital y propiedad intelectual de Ejaso. De hecho, el abogado destaca que en los últimos meses las consultas recibidas por el despacho sobre este tema han crecido.

Nuevos deberes

La complejidad de las nuevas obligaciones impuestas por la normativa y las posibles sanciones por incumplimiento son, según los expertos, las principales preocupaciones de las empresas. En este sentido, entre las medidas de seguridad que deben implantar las organizaciones, de acuerdo con la directiva NIS 2, destacan la implementación de políticas de seguridad y análisis de riesgos, la gestión de incidentes, la continuidad de las actividades del negocio (incluyendo copias de seguridad y recuperación ante desastres), la seguridad en la cadena de suministro, o la notificación de incidentes. “Estas medidas deben ser proporcionales a los riesgos a los que la empresa esté expuesta, al tamaño de la entidad y a la gravedad de los incidentes que puedan ocurrir, teniendo en cuenta tanto el impacto económico como social”, explica Luis Latasa.

Del mismo modo, como indica Boris Delgado, el nivel de exigencia en el establecimiento de estas políticas y planes, así como la supervisión de su cumplimiento, dependen de si la empresa tiene la condición de esencial o la de importante, siendo mayor y más estricto en el caso de las esenciales.

La norma europea define como entidades esenciales aquellas que prestan servicios en sectores de alta criticidad, cuya interrupción tendría un gran impacto en las operaciones diarias y en la seguridad de los ciudadanos. Por su parte, las importantes son aquellas organizaciones, normalmente de menor tamaño, que prestan servi­cios en sectores críticos y en las que el impacto de la interrupción de su actividad en la sociedad y la economía sería moderado.

En cualquier caso, las compañías que, pese a estar obligadas, no cumplan con lo establecido en la directiva NIS 2 a partir del próximo 18 de octubre (si finalmente se traspone en su fecha límite) se enfrentarán a elevadas multas. “La sanción podría llegar hasta los 10 millones de euros o el 2% de su negocio total anual global, para las entidades esenciales, y hasta los 7 millones de euros o el 1,4% de su negocio total anual global, para las importantes”, detalla Marta Trabado.

Fuente: http://cincodias-elpais-com

LINK DE LA NOTICIA

Quiénes Somos


 
Patrocinadores
Colaboradores
Entidades Asociadas