Red Seguridad 107

red seguridad cuarto trimestre 2024 55 opinión and Response ), integran varias funcio- nes de seguridad para una reacción coordinada y ágil. Directiva NIS2 En este contexto, la Unión Europea ha actualizado su normativa en ciberse- guridad mediante la Directiva NIS2, que amplía el alcance de la Directiva NIS ( Network and Information Security ) original, promulgada en 2016. La NIS2 establece requisitos más rigurosos para las entidades esenciales e importantes, extendiendo sus obligaciones a sectores adicionales y promoviendo un enfoque armonizado en toda la Unión Europea. Aunque la NIS2 entró en vigor en enero de 2023, el proceso de trasposición en Es- paña, como en otros Estados miembros, se ha visto retrasado debido a comple- jidades legislativas y a la necesidad de adaptar las estructuras y normativa actua- les. De hecho, algunas de las novedades que incorpora esta nueva directiva son: Ampliación del alcance: la NIS2 am- plía el alcance de la directiva original, que cubría principalmente operadores de servicios esenciales, incluyendo ahora más sectores, subsectores y tipos de entidades (energía, transpor- te, sanidad, infraestructuras digitales, gestión de residuos, manufactura química y alimentaria). De esta forma, clasifica las entidades en esenciales e importantes con distintos regímenes de supervisión y sanciones, que debe- rán cumplir con mayores exigencias de ciberseguridad, lo que añade presión al proceso de adecuación legislativa. Requisitos de gestión de riesgos: la NIS2 obliga a las entidades a imple- mentar un conjunto de prácticas de gestión de riesgos de ciberseguridad, incluyendo análisis de riesgos, identi- ficación y respuesta ante incidentes, y planes de contingencia y recupera- ción. Notificación de incidentes: la direc- tiva establece una serie de requisitos para la notificación de incidentes, lo cual obligará a las entidades a infor- mar de ciberataques significativos en un plazo determinado. Este proceso es fundamental para una respuesta ágil y coordinada a nivel europeo. Sanciones y responsabilidades: se introducen sanciones para las organi- zaciones que incumplan los requisitos establecidos, incentivando la adop- ción de medidas de ciberseguridad robustas. También establece respon- sabilidades personales para los altos directivos, quienes podrían ser sancio- nados si no cumplen con las normati- vas de ciberseguridad. Foco en la cadena de suministro: destaca la importancia no solo de pro- teger nuestra infraestructura y períme- tro propio, sino también asegurarnos de que los terceros o proveedores re- levantes también mantengan un nivel de seguridad y unas medidas de pro- tección adecuadas. Involucración de la alta dirección en la toma de decisiones en materia de ciberseguridad con la aprobación de planes y formación específica para este colectivo. Conclusión La protección de las entidades esencia- les y críticas contra ciberamenazas, es- pecialmente las de nueva generación, es una prioridad estratégica para la Unión Europea. La Directiva NIS2 repre- senta un avance clave hacia un marco de ciberseguridad más completo y efi- caz, con especial énfasis en aspectos como son la colaboración intersectorial, la inversión en tecnologías avanzadas, la gestión de la cadena de suministro, la respuesta a incidentes o el cumplimien- to normativo. Estos factores son esenciales para hacer frente a los desafíos actuales en ciberseguridad. La próxima cita en el calendario de la NIS2 es el 17 de enero de 2025, fecha en la que se espera in- formar a la Comisión sobre el régimen de sanciones definido, aunque aún está por ver si para entonces se habrá com- pletado la trasposición de la norma a nivel nacional.