Opinión

Sí, eres una empresa importante

Publicado

en

La directiva europea NIS2 debería ser transpuesta por España el próximo 17 de octubre de 2024. Entidades esenciales e importantes tendrán que adoptar y adaptar sus procesos y procedimientos operativos para cumplir con los requisitos de ciberseguridad que impone la nueva legislación.

Pero, ¿qué son entidades esenciales o importantes?

Según el artículo 2.1 de la directiva, las entidades críticas o importantes son organismos públicos y empresas —públicas y privadas— que entran dentro de la consideración de mediana o gran empresa y que prestan sus servicios en un conjunto definido de sectores. Por ejemplo, para entidades privadas, hablamos de compañías que tengan más de 50 empleados o su volumen de negocio sea superior a los 10 millones de euros.

Aun así, la directiva deja abierta la posibilidad de designar como entidad esencial o importante a cualquier otra que, pese a tener un tamaño menor, pueda proveer un servicio que sea considerado como crítico para el Estado.

Actualmente existe una versión anterior de la directiva NIS que se aplica desde 2016 a un conjunto de servicios considerados esenciales y donde se incluyen la energía, el transporte, los servicios financieros, el entorno sanitario, etc., junto con otros relacionados con los proveedores de servicios digitales.

Sin embargo, la promulgación de la nueva directiva NIS2 incorporará nuevos sectores que entrarán a ser considerados esenciales o importantes y que por tanto deberán cumplir con los requisitos técnicos y operativos definidos en la norma.

En este nuevo escenario, se clasifican como entidades de alta criticidad aquellas que forman parte de los sectores de la energía, el transporte, el sector financiero, sanitario, espacio, gestión del agua, entidades de las AAPP (exceptuando el poder judicial, los parlamentos y los bancos centrales), los proveedores de servicios digitales y los servicios gestionados.

A ellos se unen como entidades importantes los servicios de mensajería, la gestión de residuos, la industria química, los alimentos, la fabricación y los organismos de investigación.

Las entidades sujetas a la aplicación de la NIS2 pueden identificarse o ser designadas por el Estado y ser clasificadas como esenciales o importantes en función de su tamaño, sector o criticidad de sus actividades. Sin embargo, no existe obligación por la Administración de hacer esa designación con lo que será la propia compañía la que habrá de autoidentificarse en función de las características, tamaño y sector en el que preste el servicio.

En definitiva, un buen número de empresas podrían considerarse dentro de los mencionados epígrafes bien como entidades esenciales, bien como entidades importantes.

¿Qué deben hacer estas empresas para cumplir con la normativa?

Las empresas que se vean afectadas por la normativa deberán gestionar los riesgos de seguridad de los sistemas y redes de información y el entorno físico de sus sistemas junto con las operaciones o servicios que prestan. Todo ello con el objetivo de prevenir o minimizar las repercusiones de cualquier incidente de ciberseguridad en sus servicios, incluyendo los servicios de terceros que de ellos dependan.

Estos requisitos traen consigo la necesidad de implantar una serie de medidas técnicas, operativas y organizativas que aparecen recogidas en el artículo 21.2 y que se refieren a la gestión de riesgos y políticas de seguridad, gestión de incidentes, continuidad del negocio, seguridad de sistemas y redes, formación y concienciación, cifrado de información, control de accesos y mecanismos de autenticación junto a auditorias y pruebas de verificación de las medidas adoptadas.

Asimismo, las compañías deberán disponer de mecanismos de notificación de incidentes de seguridad adaptados a la normativa con protocolos de comunicación estrictos y acotados.

El incumplimiento de la normativa puede tener serias consecuencias, que van desde responsabilidades personales del equipo directivo de la compañía (para entidades esenciales), pasando por multas administrativas o incluso prohibiciones temporales para operar.

Por ejemplo, para entidades esenciales las multas pueden llegar hasta los 10 millones de euros o el 2% de la facturación anual. En el caso de entidades importantes las sanciones son ligeramente menores, aunque pueden alcanzar los 7 millones de euros o el 1,4% de la facturación anual.

¿Cuántas empresas se verán afectadas en España?

Pese a que España es un país mayoritariamente de pymes, existe un buen número de empresas que dado su tamaño, facturación y sector de operación se verán afectadas por las exigencias de la nueva normativa europea NIS2.

Según estudios estadísticos, en 2023 en España existían más de 26.000 empresas que empleaban a más de 50 personas. Se trata de empresas que, en función del sector en el que operan, podrían verse afectadas por el desarrollo de la nueva legislación. No estamos pues ante un número pequeño, más aún si se tiene en cuenta que el impacto de la implantación de las medidas necesarias para su cumplimiento puede llegar a ser importante.

En consecuencia, si usted se encuentra entre esas empresas, no lo deje pasar. Y si en su compañía se plantean la pregunta de si estarán obligados al cumplimiento de esta normativa y, en su caso, a qué nivel deberían adoptarla, piense que la respuesta más probable sea que “sí, su compañía muy posiblemente sea una entidad importante”.

Firmado: Juanjo Galán, Business Strategy All4Sec

Lo más leído

Salir de la versión móvil