NIS2 es la segunda iteración de la directiva de la UE sobre redes y seguridad de la información (NIS), y es la principal norma de ciberseguridad en la UE. NIS2 actualiza la NIS ampliando los sectores afectados por la ley y sus requisitos. Para el 17 de octubre de 2024, los estados afiliados a la UE deben implementar la NIS2 en sus legislaciones nacionales, por lo que todas las organizaciones afectadas por la NIS2 deben estar en cumplimiento para el cuarto trimestre de 2024.
NIS2 crea un conjunto estándar de requisitos de ciberseguridad para las organizaciones que prestan servicios esenciales o importantes a los Estados afiliados a la UE. De este modo, se reduce el riesgo de que los ciberataques contra estas organizaciones puedan tener repercusiones significativas para los ciudadanos de la UE.
La directiva NIS2 clasifica los sectores en entidades esenciales e importantes. Ejemplos de entidades esenciales (EE) incluyen:
La NIS2 también afecta a entidades importantes (EI), como:
Además de los sectores, el cumplimiento de NIS2 también se ve afectado por el tamaño de la organización. En general, las EE deben tener al menos 250 empleados y una facturación anual superior a 50 millones de euros o un balance general de 43 millones de euros. Por lo general, las IE deben tener al menos 50 empleados y una facturación o balance anual de al menos 10 millones de euros. Sin embargo, estas reglas varían según el sector. Además, las compañías que son el único proveedor de un servicio en individuo dentro de un estado afiliado a la UE pueden clasificar como EE o IE, independientemente de su tamaño.
NIS2 crea cuatro conjuntos de requisitos organizacionales de alto nivel, entre los que se incluyen:
Además, especifica un conjunto de diez requisitos mínimos, que incluyen:
La NIS2 establece varios tipos de sanciones que pueden imponer a una organización por incumplimiento, entre las que se incluyen:
La Directiva SRI2 está diseñada para limitar el riesgo de que los ciberataques contra entidades esenciales e importantes dentro de la UE afecten a su capacidad para prestar servicios a los ciudadanos de la UE. Esta actualización de la NIS original amplía el alcance de la directiva, implementa requisitos actualizados y otorga a los reguladores el poder de imponer sanciones adicionales y más estrictas contra las organizaciones que no cumplan con sus requisitos.
Lograr el cumplimiento de la directiva NIS2 en los plazos del cuarto trimestre de 2024 es esencial para todas las organizaciones afectadas y requiere la implantación de un estable programa de ciberseguridad. Check Point ofrece apoyo a las compañías que intentan alcanzar este y otros objetivos de ciberseguridad a través de su programa Infinity Global Services.
La evaluación de preparación NIS2/DORA de Check Point implica una evaluación in situ por parte de consultores senior de Check Point del cumplimiento actual de una organización con la directiva NIS2. Basar en esta evaluación, Check Point proporciona orientación sobre cómo las organizaciones pueden cerrar el intervalo de seguridad identificado y lograr el cumplimiento de la norma. Si desea más información sobre cómo alcanzar sus objetivos de cumplimiento de NIS2 antes de la fecha límite, póngase en contacto con nosotros.