La Directiva NIS2 introduce medidas de cumplimiento exhaustivas para mejorar la ciberseguridad y la resiliencia de los servicios esenciales en la UE. Estas medidas son fundamentales para que las organizaciones se adapten a las crecientes ciberamenazas. La NIS2 sustituye a la Directiva NIS original y ampl\u00eda su \u00e1mbito de aplicaci\u00f3n al someter a m\u00e1s sectores a estrictas normas de seguridad e informaci\u00f3n. La Directiva es una respuesta a las crecientes amenazas globales, como las pandemias, los conflictos geopol\u00edticos y el cambio clim\u00e1tico, y subraya la necesidad de un enfoque armonizado de la ciberseguridad en Europa.<\/p>\n
En los Pa\u00edses Bajos, la Directiva se aplica en la Ley de Ciberseguridad (Cbw), que introduce nuevas obligaciones como el registro, el deber de diligencia y el deber de informar. Las organizaciones deben prepararse, ya que la directiva entrar\u00e1 en vigor el 17 de octubre de 2024. Su incumplimiento podr\u00eda acarrear cuantiosas multas y otras sanciones, y las entidades clave ser\u00e1n objeto de un seguimiento proactivo. La aplicaci\u00f3n requiere un enfoque estrat\u00e9gico, y las organizaciones deber\u00e1n evaluar y reforzar sus medidas de ciberseguridad.<\/p>\n
La directiva NIS2<\/a>, adoptada por la Uni\u00f3n Europea, es una versi\u00f3n actualizada y ampliada de la directiva NIS original, cuyo objetivo es mejorar la ciberseguridad y la resistencia de los servicios esenciales en los Estados miembros de la UE. Las medidas de cumplimiento del NIS2 incluyen obligaciones como el registro, el deber de diligencia y la notificaci\u00f3n de incidentes para reforzar la ciberseguridad de las organizaciones. Esta directiva ampl\u00eda el \u00e1mbito de aplicaci\u00f3n incluyendo m\u00e1s sectores y establece normas m\u00e1s estrictas para la seguridad y la notificaci\u00f3n de incidentes. La directiva se est\u00e1 incorporando actualmente a la legislaci\u00f3n neerlandesa<\/a>.<\/p>\n La raz\u00f3n de ser de la Directiva NIS2 radica en los recientes acontecimientos mundiales, como la pandemia del COVID-19, la guerra en Ucrania, el aumento de las ciberamenazas y el impacto del cambio clim\u00e1tico, que ejercen presi\u00f3n sobre la seguridad de la sociedad y la econom\u00eda. La Directiva pretende reforzar la resiliencia digital y econ\u00f3mica de los Estados miembros de la UE en respuesta a estos retos.<\/p>\n La Directiva NIS2 se centra en la reducci\u00f3n de los riesgos que amenazan a los sistemas de redes e informaci\u00f3n, especialmente en el \u00e1mbito de la ciberseguridad. Esto contribuye a una mayor armonizaci\u00f3n europea y a un nivel m\u00e1s elevado de ciberseguridad para las empresas y organizaciones de la UE. La Directiva sustituye a la primera Directiva NIS, que en los Pa\u00edses Bajos se incluy\u00f3 en la Ley de Seguridad de Redes y Sistemas de Informaci\u00f3n (Wbni) en 2016. En los Pa\u00edses Bajos, la Directiva NIS2 se traduce en la Ley de Ciberseguridad (Cbw), que sustituye a la Wbni.<\/p>\n A\u00a0Se han establecido una serie de obligaciones (holandesas)\u00a0en las directivas NIS2 y CER. Las organizaciones cubiertas por la directiva NIS2 deben inscribirse en un registro de entidades. Este registro, gestionado por el Centro Nacional de Ciberseguridad (NCSC), ofrece una panor\u00e1mica europea de todas las entidades cubiertas por la directiva.<\/p>\n La Directiva NIS2 introduce un deber de diligencia que obliga a las organizaciones a realizar evaluaciones de riesgos y adoptar las medidas adecuadas para proteger sus servicios y sistemas en funci\u00f3n de dichas evaluaciones. Los miembros de los consejos de administraci\u00f3n de estas organizaciones deben aprobar estas medidas y supervisar su aplicaci\u00f3n, para lo cual tambi\u00e9n deben recibir formaci\u00f3n.<\/p>\n Adem\u00e1s, la Directiva NIS2 establece un requisito de notificaci\u00f3n, que obliga a las organizaciones a comunicar a un regulador, en un plazo de 24 horas, los incidentes que puedan interrumpir la continuidad de los servicios esenciales. Los incidentes cibern\u00e9ticos tambi\u00e9n deben notificarse al Equipo de Respuesta a Incidentes de Seguridad Inform\u00e1tica (CSIRT), que puede prestar apoyo. Habr\u00e1 un punto central de notificaci\u00f3n de informes a trav\u00e9s del NCSC.<\/p>\n Por \u00faltimo, las organizaciones cubiertas por la Directiva NIS2 estar\u00e1n sujetas a supervisi\u00f3n. Se trata de comprobar si cumplen con sus obligaciones, como el deber de diligencia y la notificaci\u00f3n. Actualmente, se est\u00e1 determinando qu\u00e9 sectores estar\u00e1n sujetos a qu\u00e9 reguladores espec\u00edficos.<\/p>\n \u00bfQu\u00e9 son sectores altamente cr\u00edticos, otros sectores cr\u00edticos, grandes organizaciones, medianas organizaciones, entidades esenciales, entidades importantes y cu\u00e1les son las excepciones a la regla? Te lo explicamos aqu\u00ed. Para comprobar directamente por ti mismo si tu organizaci\u00f3n est\u00e1 incluida en el NIS2 y en qu\u00e9 categor\u00eda, puedes utilizar el\u00a0herramienta de autoevaluaci\u00f3n NIS2 del gobierno central (neerland\u00e9s)<\/a>. Si tienes inclinaci\u00f3n visual,\u00a0descarga aqu\u00ed la hoja informativa del gobierno (neerland\u00e9s)\u00a0sobre el registro obligatorio con un diagrama de flujo para determinar si tu organizaci\u00f3n debe cumplir la normativa. La siguiente imagen procede de la p\u00e1gina web del Gobierno\u00a0Hoja informativa sobre la Ley de Ciberseguridad (neerland\u00e9s)<\/a>\u00a0y ofrece una buena presentaci\u00f3n visual de lo que se trata a continuaci\u00f3n.<\/p>\n Visi\u00f3n general de sectores, entidades y criterios.\u00a0FUENTE (neerland\u00e9s)<\/a><\/p>\n Para determinar si una organizaci\u00f3n entra en el \u00e1mbito de aplicaci\u00f3n de la Directiva NIS2, el Gobierno, en primer lugar\u00a0utiliza una distinci\u00f3n (holandesa)\u00a0entre sectores altamente cr\u00edticos y otros sectores cr\u00edticos. A continuaci\u00f3n, en funci\u00f3n del tama\u00f1o de la organizaci\u00f3n, se determina si una organizaci\u00f3n entra dentro de la categor\u00eda de entidad esencial o de entidad importante.<\/p>\n Los sectores altamente cr\u00edticos del Anexo 1 son los siguientes:<\/p>\n Otros sectores cr\u00edticos El Anexo 2 consta de los siguientes sectores:<\/p>\n \u00bfSu empresa pertenece a un sector de alta criticidad u otro sector cr\u00edtico? Entonces, podr\u00eda necesitar cumplir con la directiva NIS2. En funci\u00f3n del tama\u00f1o de la organizaci\u00f3n, usted lo determinar\u00e1 definitivamente, aunque puede haber excepciones.<\/p>\n En funci\u00f3n del tama\u00f1o de la organizaci\u00f3n, se determinar\u00e1 si \u00e9sta es esencial o importante. Aunque a\u00fan no se ha determinado todo, la principal diferencia es que las organizaciones esenciales estar\u00e1n sujetas a una supervisi\u00f3n activa, mientras que las entidades importantes estar\u00e1n sometidas a una supervisi\u00f3n retrospectiva si se justifica. En cualquier caso, eso significa que debe ponerse manos a la obra si entra en el \u00e1mbito de aplicaci\u00f3n de la directiva NIS2.<\/p>\n Las grandes organizaciones tienen: 1) al menos 250 empleados o 2) un volumen de negocios anual superior a 50 millones de euros y un balance general superior a 43 millones de euros.<\/p>\n Una organizaci\u00f3n mediana tiene: 1) al menos 50 empleados o 2) un volumen de negocio anual superior a 10 millones de euros y un balance general superior a 10 millones de euros.<\/p>\n A continuaci\u00f3n, los sectores se utilizan para determinar si una organizaci\u00f3n es esencial o importante. Existen algunas excepciones a las normas anteriores. Las siguientes organizaciones est\u00e1n siempre cubiertas por la Ley de Ciberseguridad: sector gubernamental, proveedores de servicios de confianza, registros de nombres de dominio de nivel superior, proveedores de servicios DNS, proveedores de servicios de registro de nombres de dominio y proveedores de redes y servicios p\u00fablicos de comunicaci\u00f3n electr\u00f3nica. Adem\u00e1s, un ministro del ramo puede designar a una empresa m\u00e1s peque\u00f1a para que quede cubierta por la Ley de Ciberseguridad.<\/p>\n Las grandes organizaciones de uno de los sectores enumerados en el Anexo 1 (sectores altamente cr\u00edticos) son entidades esenciales. Las excepciones que se acaban de mencionar, como la administraci\u00f3n p\u00fablica, siempre entran dentro de las entidades esenciales. Las organizaciones clasificadas como ‘entidad cr\u00edtica’ en virtud de la Directiva CER tambi\u00e9n son entidades esenciales.<\/p>\n El resto de organizaciones se clasifican como organizaciones clave. Se trata, por lo tanto, de organizaciones medianas que pertenecen a un sector del Anexo 1 (muy cr\u00edtico), y de grandes y medianas empresas que pertenecen a un sector del Anexo 2 (otros sectores cr\u00edticos).<\/p>\n La directiva NIS2 fue adoptada por la Uni\u00f3n Europea a finales de 2022. La UE ha fijado como fecha l\u00edmite para todos los Estados miembros el 17 de octubre de 2024. Algunos Estados miembros, como Alemania, afirman que cumplir\u00e1n esta fecha. Sin embargo, el gobierno neerland\u00e9s ya indic\u00f3 en enero que no iba a cumplir este plazo. D. Yesilg\u00f6z-Zegerius, Ministro de Justicia y Seguridad, escribi\u00f3 en\u00a0una carta a la C\u00e1mara (en neerland\u00e9s): \u00abMi objetivo es presentar posteriormente los proyectos de ley a tu C\u00e1mara en oto\u00f1o de este a\u00f1o\u00bb.<\/p>\n Sin embargo, el hecho de que el Gobierno no vaya a cumplir el plazo no significa que su organizaci\u00f3n no deba estar preparada. El Ministro tambi\u00e9n indic\u00f3 que una preparaci\u00f3n temprana es crucial, dada la enorme escasez de especialistas en ciberseguridad. Hay otro punto extremadamente importante a tener en cuenta aqu\u00ed: las organizaciones de otros Estados miembros que ya cumplen la normativa pueden ya exigir el cumplimiento de NIS2. Es probable que B\u00e9lgica y Alemania cumplan con el plazo, y estos son precisamente los pa\u00edses exportadores m\u00e1s importantes para los Pa\u00edses Bajos.<\/p>\n En resumen, \u00a1at\u00e9ngase a la fecha l\u00edmite del 17 de octubre!. En el momento de escribir estas l\u00edneas, solo quedan dos meses para que su organizaci\u00f3n cumpla con todos los requisitos de la Directiva NIS2. No hay raz\u00f3n para preocuparse todav\u00eda, pero es esencial empezar ayer. Estaremos encantados de ayudarle, junto con nuestra red de colaboradores.<\/p>\n Aparte de la posible p\u00e9rdida de negocio, tambi\u00e9n puede enfrentarse a importantes multas si incumple la normativa. Para las entidades esenciales, es probable que esto salga pronto a la luz, ya que existen controles previos. En el caso de las entidades importantes, a menudo esto solo se descubre despu\u00e9s de los hechos, lo cual es quiz\u00e1s mucho peor, ya que ya se habr\u00e1 producido un incidente de ciberseguridad que provoque una auditor\u00eda. Las organizaciones que no cumplan con las medidas de conformidad con NIS2 se enfrentan a multas importantes y riesgos operativos.<\/p>\n Adem\u00e1s de que la ciberseguridad o el orden deben estar en orden desde el punto de vista de la responsabilidad, una organizaci\u00f3n tambi\u00e9n puede enfrentarse a multas elevadas.\u00a0El Cap\u00edtulo VII, Art\u00edculo 34 de la Directiva NIS2<\/a>\u00a0menciona las multas:<\/p>\n Y<\/p>\n A continuaci\u00f3n, se describen otros instrumentos de aplicaci\u00f3n, algunos de ellos de gran alcance, que el regulador puede utilizar en caso de incumplimiento de la legislaci\u00f3n.<\/p>\n M\u00e1s arriba hemos mencionado brevemente las cuatro obligaciones prescritas por la Ley de Ciberseguridad: Deber de Registro, Deber de Informaci\u00f3n, Supervisi\u00f3n y la m\u00e1s importante: Deber de diligencia.<\/p>\n Utilizando la informaci\u00f3n anterior, determina si tu organizaci\u00f3n est\u00e1 cubierta por la Ley de Ciberseguridad. El gobierno\u00a0La herramienta de autoevaluaci\u00f3n (en neerland\u00e9s)<\/a>\u00a0tambi\u00e9n puede ayudar en este sentido. El Centro Nacional de Ciberseguridad (NCSC) est\u00e1 trabajando actualmente en un sistema de registro en l\u00ednea en el que las organizaciones puedan inscribirse como entidades NIS2. Esto tambi\u00e9n proporcionar\u00e1 una visi\u00f3n general europea de las entidades NIS2.<\/p>\n El NCSC tambi\u00e9n est\u00e1 creando un punto central de comunicaci\u00f3n de denuncias. Esto permitir\u00e1 a las organizaciones notificar f\u00e1cilmente los incidentes tanto al regulador como al Equipo de Respuesta a Incidentes de Seguridad Inform\u00e1tica (CSIRT), que ofrece a las organizaciones apoyo y asesoramiento en caso de incidente.<\/p>\n Los incidentes significativos deben comunicarse en un plazo de 24 horas. Un incidente lo es,\u00a0seg\u00fan la Ley de Ciberseguridad<\/a>, significativa si:<\/p>\n Proceso de elaboraci\u00f3n de informes.\u00a0SOURCE (Holand\u00e9s)<\/a><\/p>\n Las entidades esenciales est\u00e1n sujetas a una supervisi\u00f3n proactiva, es decir, incluso cuando no hay incidentes. Para las entidades clave, esta supervisi\u00f3n tiene lugar a posteriori, despu\u00e9s de un incidente. Las herramientas que los reguladores pueden utilizar para las entidades clave son: responsable de control, esc\u00e1ner de seguridad, auditor\u00eda de seguridad, revelaci\u00f3n de infracciones, instrucci\u00f3n vinculante, orden en virtud de una orden administrativa, solicitud de suspensi\u00f3n de certificaci\u00f3n o licencia, solicitud de suspensi\u00f3n de miembros del consejo de administraci\u00f3n y multa administrativa.<\/p>\n Las entidades importantes pueden enfrentarse a un esc\u00e1ner de seguridad, una auditor\u00eda de seguridad, una infracci\u00f3n de divulgaci\u00f3n, una designaci\u00f3n vinculante, una orden administrativa y una multa administrativa.<\/p>\n El \u00faltimo es el criterio m\u00e1s importante: el deber de diligencia. Esto es lo que tienes que trabajar con tu organizaci\u00f3n. Esto es lo m\u00ednimo que debe regularse. Adem\u00e1s, puede haber normas y marcos adicionales para sectores espec\u00edficos, como la sanidad o la administraci\u00f3n. vBoxx estar\u00e1 encantado de ayudarte a recorrer tu organizaci\u00f3n para descubrir qu\u00e9 es lo que hay que hacer espec\u00edficamente. Lo recibir\u00e1s posteriormente en un informe. Puedes\u00a0solic\u00edtanos nuestro esc\u00e1ner gratuito NIS2\u00a0y luego podr\u00e1s utilizar nuestra amplia red de colaboradores para obtener ayuda en el cumplimiento de cada medida.<\/p>\n Tambi\u00e9n puedes encontrar mucha informaci\u00f3n \u00fatil y descripciones y pasos detallados de estas medidas en\u00a0Sitio web del Centro de Confianza Digital (neerland\u00e9s)<\/a>\u00a0del Ministerio de Econom\u00eda y Clima. La informaci\u00f3n que figura a continuaci\u00f3n sobre las medidas tambi\u00e9n procede en gran medida de este sitio web.<\/p>\n Hay muchas facetas implicadas en el cumplimiento de la nueva Ley de Ciberseguridad. Muchos de los sistemas b\u00e1sicos pueden ser adoptados y proporcionados por vBoxx. Piense en almacenamiento en la nube, correo electr\u00f3nico, calendarios, videollamadas, gesti\u00f3n de contrase\u00f1as, servidores, copias de seguridad y mucho m\u00e1s. Junto con nuestra red de socios, se pueden implementar muchas medidas.<\/p>\n Nuestro socio\u00a0 GartSolutions<\/a>\u00a0es un socio inform\u00e1tico especializado en la configuraci\u00f3n de infraestructuras seguras y resistentes, migraci\u00f3n a la nube, DevOPS, consultor\u00eda inform\u00e1tica y otras soluciones para el cumplimiento de NIS2.<\/p>\n Para sistemas y problemas complejos, est\u00e1n disponibles para compartir contigo sus 15 a\u00f1os de experiencia. Combinado con los servicios y la infraestructura de vBoxx, esto asegura una soluci\u00f3n integral para las \u00e1reas m\u00e1s cr\u00edticas de tu organizaci\u00f3n.<\/p>\n Vamos a pensar juntos y planificar el escaner de NIS2. As\u00ed podremos identificar soluciones adecuadas y los socios que pueden apoyarnos en el proceso. \u00a1Totalmente gratis y sin compromiso, por supuesto!<\/p>\n Para m\u00e1s informaci\u00f3n, lee la entrada del blog<\/a> sobre la medida 7.<\/p>\n\u00bfA qui\u00e9n se aplica la Directiva NIS2?<\/h2>\n
Sectores (altamente) cr\u00edticos<\/h3>\n
\n
\n
\u00bfSu organizaci\u00f3n est\u00e1 incluida en NIS2?<\/h3>\n
\u00bfQu\u00e9 es una grande y mediana empresa?<\/h4>\n
\u00bfEsencial o importante?<\/h4>\n
\u00bfCu\u00e1ndo entra en vigor la Ley de Ciberseguridad?<\/h2>\n
Consecuencias en caso de incumplimiento<\/h2>\n
\n
\n
Pasos concretos hacia el cumplimiento<\/h2>\n
Requisitos de inscripci\u00f3n<\/h3>\n
Deber de denuncia<\/h3>\n
\u00bfCu\u00e1ndo denunciar?<\/h4>\n
\n
Proceso de notificaci\u00f3n<\/h4>\n
\n
Supervisi\u00f3n<\/h3>\n
Deber de diligencia<\/h3>\n
Pr\u00f3ximos pasos<\/h2>\n
Prueba nuestra soluci\u00f3n en la nube vBoxxCloud \u00a12 semanas gratis!<\/h5>\n