Medidas ante los ciberataques

La normativa afectará a cien mil empresas de toda Europa y tendrá una mayor supervisión y sanciones. En España, aún no se ha producido la adaptación a la legislación, por lo que desde la certificadora mundial TÜV Rheinland han preparado una guía para que las afectadas puedan ir preparándose.

Mapa de los ciberataques en España por Comunidades Autónomas.

1. Saber si eres una empresa afectada. El primer paso es identificar si la empresa pertenece a los sectores críticos definidos por la NIS 2 y registrarse oficialmente como una entidad a la que le es aplicable la normativa. Esto asegura que las autoridades competentes tengan constancia de la organización.

2. Definir un modelo de gobernanza de ciberseguridad. Esto incluye establecer roles y responsabilidades dentro de la organización, designar un responsable de seguridad y garantizar que las decisiones se alineen con la estrategia empresarial.

3. Seguridad en toda la cadena de suministro. Aunque no te ataquen directamente a ti, los ciberdelincuentes pueden acceder a través proveedores o terceros, por lo que hay que asegurarse de que cumplan también con estándares de ciberseguridad.

4. Plan de continuidad de negocio. Es importante contar con un plan que permita a la empresa operar durante y después de un ciberataque o interrupción significativa, ya que pueden secuestrar tu información y detener tu actividad o producción durante semanas o meses.

5. Sensibilización de los trabajadores. Es crucial formar y concienciar a todos los empleados sobre la importancia de la ciberseguridad y sus responsabilidades individuales para prevenir incidentes.

6. Asignación presupuestaria. Cumplir con la NIS 2 implica una inversión continua. La empresa debe asignar una partida presupuestaria anual para personal, tecnología, auditorías y formación.

La actualización de la NIS incluye un endurecimiento de las sanciones en caso de incumplimiento: para las entidades esenciales, las multas pueden alcanzar la cifra de 10 millones de euros o el equivalente al 2% de su negocio total anual global. En el caso de las entidades importantes, pueden llegar a 7 millones de euros o a un máximo del 1,4% de su negocio total anual global.

Según explica Rubén Fusté, Sales Manager de Servicios Industriales y Ciberseguridad de TÜV Rheinland España: “Para cumplir con la NIS 2, las empresas deben comenzar por realizar un análisis de brechas para evaluar su nivel actual de ciberseguridad y desarrollar un plan de acción que priorice los riesgos más significativos. Es fundamental que en 2025 destinen presupuesto específico a la gestión de la ciberseguridad, establecer un modelo de gobernanza eficaz que asigne claramente responsabilidades y garantizar la seguridad de la cadena de suministro”.

La Directiva NIS 2 en España representa una oportunidad única para modernizar y fortalecer la red seguridad digital, esencial para el desarrollo económico y la seguridad nacional.