Europa está decidida a jugar la baza de un desarrollo tecnológico que vela por los derechos de los ciudadanos. La transformación digital y la interconexión de la sociedad, así como de las empresas conlleva grandes beneficios, pero ha causado una expansión del panorama de las ciberamenazas y, por consiguiente, la aparición de nuevos desafíos que requieren de medidas adaptadas al nuevo contexto.
Unos desafíos que se quiere paliar con la Directiva (UE) 2022/2555, (llamada NIS2), que contempla unas medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión Europea (UE). Pero, ¿qué supondrá esta nueva legislación para las empresas españolas?
Desde Datos101, empresa española especialista en soluciones de seguridad de datos para compañías, destacan que “la NIS2 incluirá a todas las medianas y grandes empresas de los sectores críticos, pero también infraestructuras comunes como centros de datos o laboratorios de investigación. Al igual que, como novedad, también incluye, a la Administración Pública y ámbitos como pueden ser la gestión de residuos, las industrias química, farmacéutica y alimentaria, la fabricación de maquinaria pesada, los servicios postales, vehículos…”. Para Santiago Arellano, Cyber Account Manager de Datos101, “la clave de NIS2 es que incluye detalles muy concretos en torno a la prevención, a la gestión de crisis, a la respuesta ante incidentes, las pruebas ‘cyber’ o la necesidad de usar cifrado”.
Novedades en el ámbito sancionador
Más allá de las ampliaciones en el alcance y mejora de la coordinación y la cooperación, la NIS2 muestra novedades relacionadas con el régimen sancionador. Esta nueva directiva habla de sanciones proporcionales y disuasorias. Sin embargo, será necesario esperar a la transposición de la ley para conocer de qué manera afectará. Cabe destacar que la NIS1 recogía multas de entre 500.000 y 1.000.000 euros para las infracciones muy graves.
Santiago Arellano, Cyber Account Manager de Datos101, resaltan que “el efecto económico más inmediato de la NIS 2 no vendrá por las sanciones, sino por la necesidad de aplicar los nuevos requerimientos de ciberseguridad. Estos requerimientos se enfocarán en la gestión de riesgos y las empresas pasarán a ser responsables de la actuación de sus proveedores y suministradores”.
