Con la finalidad de armonizar y reforzar la seguridad informática de las empresas, la nueva directiva europea NIS2 impone mayores requisitos a un abanico más amplio de agentes económicos. Nos lo explica Vincent Bazillio, Global Business Development Manager – Cybersecurity de la marca Axians.
Se trata de un importante punto de inflexión en la estrategia de protección y prevención de las organizaciones económicas frente al riesgo cibernético. A raíz de la directiva europea NIS2 (Network and Information Security), que entró en vigor el 17 de octubre de 2024, las empresas deben asumir sus responsabilidades de primer orden en materia de seguridad digital.
Este nuevo escudo normativo sucede a la directiva NIS1 de 2016, con un ámbito de aplicación más amplio y un mayor nivel de exigencia para las organizaciones. Mientras que la primera versión estaba principalmente dirigida a los operadores de servicios esenciales de siete sectores de actividad, la NIS2 amplía su alcance a empresas privadas, autoridades locales, centros de investigación, centros sanitarios, etc., de 18 sectores de actividad.
Por tanto, ya no son tan solo unos cientos de entidades las que entran en el ámbito de aplicación de la ley, sino seguramente más de 15.000, divididas en dos grandes bloques: entidades esenciales (EE), que incluyen las grandes empresas, y entidades importantes (EI), que designan principalmente a las pymes.
Cambio de escala
“La NIS2 introduce realmente la gestión del riesgo a 360° en las empresas, que ahora deben aplicar la ciberseguridad en todos sus niveles funcionales y operativos, desde la I+D hasta los servicios de apoyo, pasando por las actividades industriales y las infraestructuras. Los requisitos de la nueva directiva se han ampliado también a los subcontratistas y proveedores, por lo que pasamos de la lógica del castillo fortificado a la de la red segura, una red muy abierta que se extiende más allá de las fronteras de la empresa”, resume Vincent Bazillio, Global Business Development Manager – Cybersecurity en Axians, la marca TIC de VINCI Energies.
“La ciberseguridad es un continuo”
Un cambio de escala que obliga a las empresas a elaborar una sólida hoja de ruta y a organizar rigurosamente su plan de acción. Además, la NIS2 no se limita a establecer un marco de actuación, sino que también contempla sanciones financieras en caso de incumplimiento de las nuevas normas que pueden alcanzar los 10 millones de euros o un 2% del volumen de negocios global para las EE y de hasta 7 millones de euros o el 1,4 % del volumen de negocios total en el caso de las EI.
A partir de ahora, las empresas deberán informar de los incidentes considerados “importantes” en un plazo de 24 horas. En el caso de las entidades esenciales, esta alerta debe ir seguida, dentro de las 72 horas posteriores, de una notificación completa y, posteriormente, de un informe final detallado en un plazo máximo de 30 días.
Cultura del riesgo cibernético
Pero que no cunda el pánico. El objetivo de la NIS2 no es abrumar a las empresas, sino acelerar su transición hacia una cultura del riesgo cibernético. ¡Pero sin precipitarse en exceso! “La ciberseguridad es un continuo basado en un enfoque progresivo y en constante adaptación, por lo que hay que proceder paso a paso. El proceso empieza por la cartografía de todas las actividades “empresariales” y la identificación de las necesidades de seguridad específicas de cada empresa con el fin de evaluar el impacto de un ataque en la actividad y definir planes de continuidad”, prosigue Vincent Bazillio.
No todas las empresas empiezan en igualdad de condiciones. Mientras que las EE hace tiempo que están trabajando en el cumplimiento de la normativa y disponen de los recursos internos necesarios para dominar las herramientas y los procesos, la mayoría de pymes necesitan un acompañamiento.
“También en este caso cada estructura presenta sus necesidades específicas. Ya no se trata de multiplicar los cortafuegos en todos los niveles, sino de enseñar a las empresas a pensar en términos de análisis de riesgos, a identificar las prioridades para concentrar las acciones en los puntos estratégicos, con una visión orgánica a largo plazo. Es la garantía de su seguridad, pero también de su resiliencia en caso de ataque”, subraya Vincent Bazillio.
15/07/2025
