ISGroup Consultoría de Ciberseguridad

¿Cómo afecta la Directiva NIS2 a las empresas internacionales que operan en la UE?

La Directiva NIS2 tiene implicaciones significativas para las empresas internacionales que operan dentro de la UE, imponiendo obligaciones y responsabilidades en materia de ciberseguridad a aquellos que entran en su ámbito de aplicación.

[Callforaction-NIS2]

Aquí tienes una visión general:

1. Ámbito de aplicación y criterios de inclusión ampliados

  • La NIS2 amplía considerablemente el rango de sectores y entidades sujetos a sus disposiciones, yendo más allá del enfoque de la directiva NIS original para incluir sectores considerados críticos debido a su nivel de digitalización y su interconexión con la economía y la sociedad de la UE.
  • Las empresas internacionales que operan en sectores como energía, transporte, salud, infraestructuras digitales y otros enumerados en los Anexos I y II de la directiva deben evaluar si entran en el ámbito de aplicación según sus actividades y dimensiones.
  • Una modificación fundamental es la introducción de un umbral dimensional. Todas las empresas de medianas y grandes dimensiones en los sectores especificados entran en el ámbito de aplicación de la NIS2. Esto significa que las empresas internacionales, independientemente de su sede central, deben cumplir con la normativa si cumplen los criterios dimensionales para su sector dentro de la UE.
  • La directiva también permite a los Estados miembros identificar entidades más pequeñas con perfiles de riesgo elevado que deben cumplir sus obligaciones. Esta disposición ofrece a las autoridades nacionales flexibilidad para abordar riesgos de ciberseguridad específicos.

2. Jurisdicción y principio del “establecimiento principal”

  • Para la mayoría de las entidades, la jurisdicción de la NIS2 recae en el Estado miembro en el que están establecidas. Si están establecidas en varios Estados miembros, cada uno de estos países tiene jurisdicción, lo que requiere cooperación y posibles acciones de supervisión conjuntas por parte de las autoridades respectivas.
  • Sin embargo, algunas empresas internacionales que proporcionan servicios digitales transfronterizos caen bajo la jurisdicción del Estado miembro en el que se encuentra su “establecimiento principal” en la UE. Esto incluye proveedores de sistemas de nombres de dominio, servicios de computación en la nube, centros de datos, redes de distribución de contenidos (CDN), mercados en línea, motores de búsqueda y plataformas de redes sociales.
  • Para garantizar la claridad, estas empresas deben notificar a las autoridades competentes su establecimiento principal y las demás sedes legales dentro de la UE. Si no poseen una unidad en la UE, deben designar un representante dentro de la UE, cuya información debe ser proporcionada a las autoridades. Esta disposición tiene como objetivo simplificar el cumplimiento para estas empresas, evitando que tengan que enfrentarse a un complejo conjunto de normativas nacionales diferentes.

3. Gestión del riesgo de ciberseguridad y notificación de incidentes

  • La NIS2 impone a las empresas que entran en su ámbito de aplicación implementar medidas técnicas, operativas y organizativas adecuadas para gestionar los riesgos de ciberseguridad relacionados con sus sistemas de red e información. Este enfoque basado en el riesgo requiere una estrategia de ciberseguridad completa y adecuada a los riesgos específicos que enfrenta la empresa.
  • La directiva proporciona una lista de diez elementos de seguridad esenciales que las empresas deben abordar, incluyendo la gestión de incidentes, la seguridad de la cadena de suministro, la gestión y divulgación de vulnerabilidades y el uso de la criptografía. Estos elementos constituyen una base para las prácticas de ciberseguridad que todas las empresas sujetas deben respetar.
  • Las empresas internacionales deben establecer mecanismos sólidos de notificación de incidentes. Deben notificar oportunamente a su CSIRT nacional o a la autoridad competente cualquier incidente de ciberseguridad significativo que impacte sus operaciones en la UE. Esto incluye incidentes que interrumpan significativamente la prestación de servicios o que puedan tener un impacto en otras entidades, causando daños materiales o inmateriales sustanciales.
  • La directiva prevé un proceso de notificación en dos fases: un “aviso preliminar” seguido de un informe más detallado en un plazo de 72 horas, que incluya información sobre el impacto del incidente, las medidas de mitigación y las estrategias de prevención futura. Este marco de notificación estandarizado facilita una respuesta oportuna y la colaboración transfronteriza en incidentes de ciberseguridad.

4. Enfoque en la seguridad de la cadena de suministro

  • La NIS2 pone énfasis en la seguridad de las cadenas de suministro y las relaciones con los proveedores, exigiendo a las empresas que aborden los riesgos de ciberseguridad dentro de estos ecosistemas. Esto incluye la evaluación de la postura de seguridad de los proveedores críticos y la implementación de controles apropiados para mitigar los riesgos.
  • Este requisito destaca la naturaleza interconectada de la ciberseguridad y la responsabilidad compartida en la mitigación de riesgos. Las empresas internacionales deben evaluar cuidadosamente sus cadenas de suministro dentro de la UE y garantizar la alineación con los requisitos de la NIS2.

5. Aplicación rigurosa y sanciones armonizadas

  • La directiva confiere a las autoridades nacionales poderes de supervisión y aplicación reforzados. Esto incluye la realización de auditorías e inspecciones periódicas, la emisión de instrucciones vinculantes, la imposición de multas y la adopción de acciones correctivas.
  • La NIS2 introduce un marco sancionador armonizado entre los Estados miembros para garantizar una aplicación coherente y eficaz. Esto incluye sanciones financieras significativas, en particular para las entidades esenciales, que pueden enfrentar multas de hasta 10.000.000 € o el 2% del volumen de negocios anual global.
  • Estos mecanismos de aplicación rigurosos subrayan la seriedad con la que la UE considera la ciberseguridad y la necesidad de un cumplimiento estricto por parte de las empresas internacionales que operan dentro de sus fronteras. En Italia, la ACN ha definido los plazos y las modalidades de inscripción en la lista NIS2 para los sujetos obligados.

6. Implicaciones más allá de la aplicabilidad directa

  • Aunque la NIS2 se dirige principalmente a medianas y grandes empresas, su impacto se extiende indirectamente a las PYMES. Las empresas más grandes sujetas a la directiva están incentivadas a garantizar que sus cadenas de suministro cumplan con los estándares de ciberseguridad requeridos, impulsando a las PYMES a mejorar su postura de ciberseguridad para mantener las relaciones comerciales.
  • Además, recursos como la base de datos europea de vulnerabilidades, establecida y mantenida por ENISA, ofrecen ventajas a todas las partes interesadas, incluidas las PYMES, proporcionando información valiosa sobre las amenazas y promoviendo mejores prácticas de gestión de vulnerabilidades.

Qué hacer si tu empresa entra en el ámbito NIS2

Las empresas internacionales que operan en la UE deben analizar con atención sus obligaciones derivadas de la directiva e iniciar un camino estructurado de adecuación. Entender cuál es el objetivo principal de la Directiva NIS2 es el punto de partida para establecer correctamente las prioridades. Quienes ya han identificado su perímetro de aplicabilidad pueden evaluar un camino de cumplimiento con la NIS2 que cubra el análisis de riesgos, medidas técnicas y organizativas, y gestión de incidentes.

[Callforaction-NIS2-Footer]

In