HOME
NIS2

NIS2: La nueva Directiva sobre seguridad informática

Los nuevos estándares de la UE en materia de ciberseguridad para responder a las crecientes amenazas digitales con protocolos más estrictos y marcos de gobernanza más sólidos.

Los detalles de la Directiva

En diciembre de 2022, el Consejo de la Unión Europea y el Parlamento Europeo adoptaron la Directiva de seguridad de las redes y de la información (NIS2), o Directiva 2022/2555, sobre la seguridad de las redes y sistemas de información, con el objetivo de reforzar los sistemas de seguridad para hacer frente a los cada vez más frecuentes ciberataques y prever nuevos y más amplios requisitos de ciberseguridad para todos los Estados miembros de la UE.

‍En Italia, la Directiva se transpuso el  1 de octubre de 2024 mediante el Decreto Legislativo n.º 138/2024, fecha a partir de la cual las empresas deben comenzar el proceso de adaptación a los nuevos requisitos, y estará plenamente operativa a partir del 1 de enero de 2026.

Leviahub, siempre atenta a garantizar la máxima seguridad de sus soluciones, ya ha trabajado para adherirse al máximo a las nuevas directrices, con el fin de ofrecer entornos seguros a sus clientes y guiarlos hacia un negocio sin riesgos.

De hecho, el hardware no dura para siempre y es esencial actualizar los centros de datos para mantenerse al día con un mercado en constante evolución. Prevención, supervisión y recuperación son los tres conceptos clave para acatar las normativas y seguir siendo competitivos, y Leviahub está lista para ayudarte con los mejores servicios para tu negocio.

Directiva NIS2: ¿qué cambia con respecto a la NIS?

NIS2 es una importante evolución de la anterior Directiva sobre redes y sistemas de información (NIS), que amplía la estrategia de ciberseguridad de la UE con el fin de reforzar la seguridad informática de las entidades esenciales dentro de la organización, respondiendo a las crecientes amenazas digitales y protegiendo el mercado interior mediante protocolos más estrictos y marcos de gobernanza más sólidos.

Concretamente, en comparación con la NIS1, la nueva Directiva prevé:
GARANTÍADE CONTINUIDAD DEL NEGOCIO

El objetivo de las nuevas medidas es garantizar la continuidad operativa de los sujetos, incluso en caso de daños graves en la infraestructura tecnológica, para eliminar cualquier interrupción del flujo de trabajo y pérdida de datos esenciales.

COOPERACIÓN ENTRE ESTADOS MIEMBROS

La Directiva tiene como objetivo crear y fortalecer una red de cooperación a nivel europeo para favorecer el intercambio de información entre los Estados miembros, lo que permitirá compartir las mejores prácticas y responder de manera coordinada a los incidentes cibernéticos a nivel transnacional.

AMPLIACIÓN DE LOS SECTORES IMPLICADOS

La Directiva se aplica a más industrias medianas y grandes que la anterior NIS. Los sectores implicados pasan de 6 a 18.

MÁS RESPONSABILIDAD PARA LA DIRECCIÓN

La Directiva introduce sanciones más severas por incumplimiento reiterado y responsabiliza a los directivos empresariales en materia de seguridad, haciéndolos imputables por cualquier infracción.

MEDIDAS MÁS ESTRICTAS PARA LA GESTIÓN DE RIESGOS

Todas las entidades involucradas deben adoptar medidas técnicas y organizativas específicas para la notificación de incidentes y la gestión/resolución de riesgos informáticos.

IMPLICACIÓN DE LA CADENA DE SUMINISTRO

Se requiere una mayor atención a las vulnerabilidades relacionadas con los proveedores externos. De esta manera, se involucra a toda la cadena de suministro.

DEFINICIÓN DE SANCIONES MÁXIMAS

Las sanciones previstas por la violación de la normativa NIS2 son severas y proporcionales a la gravedad del incumplimiento; varían según el tipo de sujeto implicado (esencial o importante) y pueden referirse a la falta de gestión de riesgos, al incumplimiento de las obligaciones de notificación de incidentes o a la falta de registro ante las autoridades competentes.

Las sanciones deben ser establecidas por los Estados miembros, pero deben ser al menos equivalentes a:

- 1,4 % del volumen de negocios global o 7 millones de euros para las entidades importantes;

- 2 % del volumen de negocios global o 10 millones de euros para las entidades esenciales.

Ámbitos de aplicación de la NIS2

La Directiva NIS2 divide a las organizaciones afectadas en dos categorías principales:

1. Entidades esenciales

- Sectores críticos como energía, transporte, sanidad e infraestructuras digitales.
- Sanciones más elevadas en caso de no conformidad.
- Se precisan una supervisión activa y estrictos requisitos de seguridad.

2. Entidades importantes

- Sectores menos críticos, si bien relevantes.
- Requisitos de seguridad más flexibles, si bien obligatorios.
la pertenencia a una de las dos categorías se determina en función del tamaño de la empresa y de la criticidad del sector al que pertenece.

Además, la Directiva amplía los ámbitos de aplicación: los sectores afectados pasan a ser 18, de los cuales 11 son extremadamente críticos y 7 críticos, lo que afecta a más de 80 tipos de sujetos.

Métodos de gestión de riesgos

Según la nueva Directiva NIS2, los sujetos responsables deben poner en práctica medidas adecuadas y proporcionadas en el ámbito técnico, operativo y organizativo, para gestionar los riesgos de seguridad de la red y de los sistemas informáticos utilizados para llevar a cabo sus actividades o para prestar sus servicios, así como para prevenir y limitar el impacto de posibles incidentes en los destinatarios de los servicios y en otros servicios.

Las empresas deben establecer las medidas que han de adoptarse siguiendo dos fases operativas:
FASE DE ANÁLISIS

En esta fase, las empresas deben analizar las circunstancias de cada caso, teniendo en cuenta el factor humano y el nivel de dependencia de la red y de los sistemas informáticos, con el fin de establecer las medidas que deben adoptarse de manera proporcionada al impacto socioeconómico potencial de cualquier incidente informático.

A mayor gravedad del posible daño, mayor será el compromiso que el responsable deberá invertir en la implementación de las medidas de gestión de riesgos.

ADOZIONE DI MISURE SPECIFICHE

La empresa deberá adoptar políticas específicas de análisis de riesgos y seguridad, así como de gestión de copias de seguridad y recuperación en caso de desastre, y gestión de crisis; además, es necesario definir medidas de gestión de incidentes, de mantenimiento de sistemas informáticos y de red, y de seguridad de la cadena de suministro.

El sujeto responsable deberá poner en marcha procedimientos para evaluar la eficacia de las medidas de gestión de riesgos. En este sentido, en el ámbito de la cadena de suministro podrían participar indirectamente también empresas que no estén directamente incluidas en el ámbito de aplicación de la Directiva, incluso si no tienen su sede en la UE pero operan en ella para la cadena de suministro.

Estandarización y certificaciones

A raíz de la Directiva NIS2, los Estados miembros pueden exigir la obtención de certificaciones y/o el uso de productos certificados por parte de los sujetos responsables.

La certificación de productos se basa en los programas europeos de certificación de ciberseguridad, de conformidad con el Reglamento UE 2019/881 sobre ciberseguridad. Además, según la Directiva, la Comisión Europea puede implementar actos delegados para exigir que ciertas categorías específicas de sujetos adopten soluciones técnicas certificadas u obtengan un certificado correspondiente; sin embargo, éstos solo pueden adoptarse si la Comisión ha identificado previamente niveles insuficientes de ciberseguridad y ha establecido un plazo límite para la implementación.

Obbligo di iscrizione al portale ACN

In Italia, dal 1° dicembre 2024 ed entro il 28 febbraio 2025, le aziende rientranti nella Direttiva NIS2 devono completare l’iscrizione al portale ACN (Autorità per la Cybersicurezza Nazionale), al fine di adeguarsi alla normativa europea e di non rischiare di incorrere in pesanti sanzioni.

L’iscrizione al portale dell’Autorità per la Cyber sicurezza Nazionale permette alle aziende di:

  • attestare l’adozione di misure efficaci contro le minacce informatiche;
  • dimostrare la disponibilità alla cooperazione con le autorità competenti;
  • usufruire di uno strumento di aggiornamento grazie ad avvisi sulle novità normative e sugli strumenti da adottare.

Qualora un’azienda non si iscriva al Portale entro il 28 febbraio 2025 rischia di andare incontro a:

  • sanzioni e multe per mancato adempimento agli obblighi normativi e non conformità alla NIS2;
  • esclusione da risorse e strumenti di Cyber Security esponendo l’azienda a maggiori rischi e attacchi informatici;
  • rischi reputazionali e operativi.

LAS SOLUCIONES DE LEVIAHUB PARA CUMPLIR LA NIS2

Leviahub es el socio de confianza que te acompaña también en el cumplimiento de la nueva Directiva NIS2.

Siempre atenta a la evolución normativa y del mercado para garantizar la máxima eficiencia a sus clientes, Leviahub ofrece todas las herramientas para proporcionar un alto nivel de seguridad a tus sistemas informáticos y a tus datos. En un mundo en el que las amenazas digitales están en constante evolución, proteger los sistemas y adoptar las precauciones adecuadas para anticiparse a cualquier riesgo se convierte en una prioridad absoluta: por eso llevamos tiempo trabajando en las medidas de seguridad más sofisticadas y nos adaptamos siempre a las novedades para estar al día con los sistemas de prevención más avanzados.

Gracias a nuestros servicios de ciberseguridad, podrás contar con un equipo de expertos dispuestos a sugerirte las mejores soluciones de seguridad informática para tu empresa, protegiéndola de amenazas y ataques no deseados.

Nuestra experiencia nos permite intervenir con precisión, ofreciendo soluciones a medida que preservan la estabilidad de los sistemas y minimizan los riesgos de interrupción, garantizando que cada acción contribuya a reforzar la resiliencia empresarial.

Protege la información empresarial y los datos confidenciales: gracias a nuestros servicios de ciberseguridad, tecnológicamente avanzados y diseñados exclusivamente para el mundo de la cadena de suministro, podrás disponer de un entorno digital seguro y fiable.

Nuestros servicios de ciberseguridad incluyen:

  • Evaluación de riesgos
  • Evaluación de vulnerabilidades
  • Prueba de penetración
  • Concienciación sobre seguridad (ingeniería social)
  • Reputación de marca (exploración de la web oscura y profunda)
  • Inteligencia sobre ciberamenazas
  • SOC (Security Operations Center) (Centro de operaciones de seguridad)
  • SIEM (Security Information and Event Management) (Gestión de eventos e información de seguridad)
  • NDR (Network Detection & Response) (Detección y respuesta de red)
  • MDR (Managed Detection & Response) (Detección y respuesta gestionadas)
  • SOAR (Security Orchestration automation and Response) (Automatización y respuesta de orquestación de seguridad)
  • WAF (Web Application Firewall) (Cortafuegos de aplicaciones web)
  • E-mail security Advanced (Seguridad avanzada del correo electrónico)
  • Supervisión continua para detectar actividades sospechosas
  • Copia de seguridad y recuperación ante desastres para salvaguardar los datos
  • Autenticación multifactorial para un mayor nivel de seguridad

Cada servicio desempeña un papel clave en la creación de un entorno de TI seguro y protegido.

Con Leviahub puedes enfrentarte al mundo digital con confianza y tranquilidad, sabiendo que cuentas con un socio de confianza a tu lado. ¡Confía en nosotros y cumple de inmediato todos los requisitos de la NIS2 para evitar sanciones y riesgos informáticos!

Podría interesarte también

Consigue tu demo gratis

Leviahub Spain S.L.

Dirección legal: Rambla de Catalunya 60, ático 2A - 08007 Barcelona

Tel. +34 933906180 | info.es@leviahub.com

NIF B67048264

Política de privacidad

Política de cookies

Diseñado por Blhack