Las ciberamenazas representan en la actualidad un peligro significativo para la seguridad global, viéndose esto agravado por la creciente sofisticación de las técnicas empleadas y una infraestructura cada vez más interconectada. En respuesta a esto, a finales del año 2022, el Parlamento Europeo aprobaba la Directiva NIS2 que, junto al Reglamento DORA, buscan mejorar y garantizar un nivel común de ciberseguridad en la Unión Europea, eliminando así las diferencias legislativas entre los países en materia de ciberseguridad.

La reciente legislación, que reemplaza a la Directiva NIS aprobada en 2016 -todavía en vigor hasta su incorporación el próximo mes de octubre en el marco legislativo en España-, moderniza y amplía el ámbito de aplicación de las normas de ciberseguridad a nuevos sectores y entidades que prestan servicios esenciales, mejorando la resiliencia y la capacidad de respuesta y recuperación frente a los ciberataques de entidades públicas y privadas. Entre los sectores sujetos a los cambios normativos, destaca el sanitario, el de telecomunicaciones, el energético, el relativo a la infraestructura digital, el bancario y el financiero, entre otros. 

Entre las novedades jurídicas integradas en la normativa destacamos que los Estados miembros estarán obligados a implantar equipos de respuesta a incidentes de seguridad informática (CSIRT), así como a designar una autoridad nacional competente, a quienes las organizaciones notificarán en caso de sufrir un ciberataque significativo. Además, los organismos no solamente deberán poner el foco en su infraestructura, sino que también tendrán que estar al tanto de la ciberseguridad de sus proveedores de servicios, dado que la cadena de valor se configura como un vector cada vez más explotado por los ciberatacantes.

Sin embargo, si algo cabe destacar de la directiva NIS2 son sus amplias implicaciones para la Administración Pública, sobre todo a nivel europeo. Entre estos nuevos requerimientos para un sector con un elevado grado de exposición a los ciberataques, destaca la implementación de medidas de seguridad mejoradas para proteger información sensible, la cual debe verse complementada con una evaluación periódica de riesgos con el fin de informar sobre el estado de la ciberseguridad a las autoridades designadas por cada Estado. Así mismo, se establece la obligación de gestionar la ciberseguridad en todo el ciclo de vida de las redes y sistemas de información, considerando el Internet de las Cosas (IoT) como parte del alcance, entendido esto como el proceso de digitalización de todo tipo de dispositivos comunes.

La entrada en vigor de NIS2 representa una oportunidad única para impulsar la protección de miles de organizaciones ante el panorama creciente de ciberamenazas, en el que durante el último semestre de 2023 se registró un incremento del 12% de los ataques de tipo ‘ransomware’ respecto al semestre anterior, tal y como se refleja en la última edición del informe Thread Landscape Report, elaborado por S21sec. 

En definitiva, la ciberseguridad ya no es una opción para las entidades, sino que representa una obligación sujeta a un marco legal que, en caso de incumplimiento por parte de la organización, puede conllevar el cese de su actividad.