.

Fecha:
24.01.2024
Autor:
Equipo de Inventia

Descúbrelo:

• ¿Qué es la Directiva NIS2?

• Fecha límite para la aplicación de la Directiva NIS2

• Criterios que deben cumplirse para aplicar la Directiva NIS2

• ¿Qué cambia la Directiva NIS2 con respecto a la primera versión?

• Competencias de las autoridades de control

• Sanciones por incumplimiento de la Directiva NIS2

En la era digital, en la que las tecnologías de la información desempeñan un papel clave en el funcionamiento de la economía y la sociedad, la ciberseguridad se ha convertido en uno de los retos prioritarios del mundo moderno. El creciente número de ciberataques, su complejidad y las posibles consecuencias para las infraestructuras críticas exigen una actuación coordinada. En respuesta a estos retos, la Unión Europea ha introducido la Directiva NIS2 (Directiva 2022/2555oD) para mejorar el nivel de seguridad dentro de la comunidad. Este artículo presenta información clave sobre la Directiva NIS2, su significado, ámbito de aplicación e implicaciones para las empresas e instituciones de la Unión Europea). destinada a aumentar el nivel de seguridad en la comunidad. Este libro electrónico presenta la información más importante sobre la Directiva NIS2, su significado, ámbito de aplicación y consecuencias para las empresas e instituciones de la Unión Europea.SYS®?

La Directiva NIS2 (Directiva sobre seguridad de las redes y de la información 2) es una versión actualizada de la Directiva NIS de 2016, cuyo objetivo es aumentar la ciberresiliencia en los Estados miembros de la Unión Europea. La Directiva pretende garantizar un nivel elevado y común de seguridad de las redes y los sistemas de información en toda la Unión Europea, que abarque tanto el sector público como el privado. Introduce requisitos más estrictos para la gestión del riesgo cibernético y la cooperación entre los Estados miembros en caso de incidentes cibernéticos. La Directiva se centra en la protección de las infraestructuras y servicios críticos de, esenciales para el funcionamiento de la economía y para garantizar la seguridad pública. Al aumentar el nivel de protección, la NIS2 pretende minimizar el riesgo de interrupción de servicios y activos clave y proteger frente a un número creciente de ciberamenazas.

Aunque el ámbito de aplicación de la Directiva NIS2 toca y se asocia principalmente a la ciberseguridad, abarca un área mucho más amplia: gestión de riesgos, mejora de la seguridad de la cadena de suministro, gestión y responsabilidad institucional, cooperación dentro de la comunidad de la UE. Una perspectiva amplia puede influir positivamente en la seguridad general de las actividades operativas.

Los Estados miembros de la UE deben aplicar las disposiciones de la Directiva NIS2 antes del 17 de octubre de 2024. Para esa fecha, todos los Estados miembros están obligados a adoptar y publicar legislación nacional para garantizar el cumplimiento de la NIS2. Antes del 17 de abril de 2025, cada Estado miembro deberá elaborar una lista de entidades clave e importantes a las que se aplicarán los requisitos de la Directiva.

En Polonia, la Directiva NIS2 no se ha aplicado hasta la fecha y aún se está trabajando en el proyecto de ley. La aplicación nacional puede tener un impacto significativo en los requisitos, así como en la forma de cumplirlos.

Las entidades obligadas a aplicar la Directiva NIS2 deben cumplir determinados criterios (algunos de los siguientes ámbitos dependerán de la aplicación en cada Estado miembro):

• Ámbito de los sectores cubiertos: NIS2 se aplica a las empresas e instituciones que operan en sectores considerados “clave” o “importantes” para el funcionamiento de la economía y la seguridad pública. Estos sectores incluyen, entre otros, la energía, el transporte, la banca, la sanidad, el suministro de agua potable y el tratamiento de aguas residuales. Estas entidades deben cumplir una serie de requisitos de seguridad, incluida la aplicación de medidas adecuadas de gestión de riesgos y notificación de incidentes,

• Tamaño de la organización: La Directiva distingue entre organizaciones grandes, medianas y pequeñas. Las nuevas normas se aplican tanto a como a las medianas empresas (que emplean a un mínimo de 50 trabajadores y tienen un volumen de negocios anual o un balance general anual de un mínimo de 50 trabajadores). 50 empleados y con un volumen de negocios anual o un balance general anual de min. 10 millones de euros) como a las grandes empresas (con un mínimo de 250 empleados y un volumen de negocios anual superior a 50 millones de euros o un balance general anual superior a 43 millones de euros). En particular, se ven afectadas las grandes y medianas empresas que operan en los sectores mencionados, mientras que las pequeñas organizaciones sólo están cubiertas por la normativa en casos excepcionales si prestan servicios de especial importancia para el funcionamiento del mercado interior de la UE,

• Relevancia para el mercado interior de la UE: las entidades deben demostrar que son relevantes para el funcionamiento del mercado interior de la UE, lo que puede incluir la prestación de servicios clave, la propiedad de infraestructuras críticas o la relevancia para la seguridad pública,

• Capacidad de gestión de riesgos: las organizaciones deben ser capaces de poner en marcha medidas adecuadas de gestión de riesgos, como evaluaciones periódicas de riesgos, la aplicación de una estrategia de gestión de riesgos y el uso de medidas técnicas y organizativas adecuadas para garantizar la seguridad de sus sistemas y datos.

La Directiva NIS2 introduce una serie de cambios significativos con respecto a la Directiva NIS de 2016:

• Ampliación del ámbito de aplicación de la normativa: la NIS2 aumentó el número de sectores considerados clave e importantes para la seguridad interior de la Unión Europea.

• Requisitos de seguridad más estrictos: La directiva exige a las entidades reguladas medidas técnicas y organizativas más estrictas.

• Refuerzo de la supervisión y el cumplimiento: La Directiva amplía las competencias de las autoridades de supervisión, incluida la facultad de imponer sanciones económicas y de otro tipo por incumplimiento de los requisitos de la Directiva (hasta 10 millones de euros). Las autoridades supervisoras también pueden exigir la notificación detallada de incidentes y realizar inspecciones in situ.

• Mayor cooperación internacional: la Directiva NIS2 pretende reforzar la cooperación y el intercambio de información entre los Estados miembros para gestionar las ciberamenazas con mayor eficacia. La nueva legislación también fomenta la coordinación dentro del sistema de respuesta a ciberincidentes de la UE. Así pues, debe considerarse una norma armonizada para la gestión de la seguridad, en particular la de la ciberseguridad.

Con la NIS2, las autoridades supervisoras tienen poderes ampliados que incluyen:

1. Exigir a las entidades reguladas que faciliten información sobre el estado de las salvaguardias y las medidas preventivas adoptadas.
2. Capacidad para realizar auditorías e inspecciones, tanto in situ como a distancia, para verificar el cumplimiento.
3. Imponer sanciones, incluidas multas económicas, por incumplimiento, por no notificar incidentes o por no seguir los procedimientos especificados.
4. Llevar a cabo una estrecha cooperación con otras autoridades a escala nacional y de la UE para coordinar la prevención y la respuesta a los incidentes.

Existen fuertes sanciones por incumplimiento de la Directiva NIS2, que pueden ascender hasta 10 millones de euros o el 2% del volumen de negocios anual total de la empresa, si esta cifra es superior. Las sanciones también pueden incluir la orden de cesar las operaciones en un mercado específico o la aplicación de salvaguardias adicionales.

Con la introducción de nuevas medidas de seguridad avanzadas, la NIS2 proporciona una base sólida para crear ciberresiliencia en toda la Unión Europea. La aplicación de estas disposiciones es clave para proteger las infraestructuras críticas y garantizar la continuidad de servicios vitales para la economía y la seguridad pública.

Migración de los sistemas de telemetría. Evolución del MT-101 al MT-121

CODESYS® – un entorno de programación de PLC moderno