La Directiva NIS2
Análisis de las claves de la Directiva y desafíos para los CISO
En este Artículo Técnico encontrarás una visión global de la Directiva UE 2022/2555 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión (NIS 2) y cómo debemos los CISOs orientar y preparar a la organización para su cumplimiento.
Una directiva publicada en el DOUE el 27 de diciembre de 2022, con entrada en vigor el 16 de enero de 2023, que debe ser transpuesta a la normativa nacional antes del 17 de octubre y con aplicación en toda la UE a partir del 18 de octubre de 2024.
Nos enfrentamos a una normativa con requisitos precisos y estrictos en la gestión de los riesgos y la notificación de los incidentes, ampliando en el alcance a nuevos sectores críticos que no estaban contemplados en la normativa anterior NIS, y por último, con la aplicación de sanciones mucho más severas, efectivas, proporcionadas y disuasorias ante cualquier incumplimiento de las disposiciones nacionales adoptadas al amparo de la directiva.
En concreto, el considerando 133 detalla que ’las autoridades competentes deben estar facultadas para suspender temporalmente o solicitar la suspensión temporal de una certificación o autorización referente a una parte o la totalidad de los servicios pertinentes prestados o a las actividades realizadas por una entidad esencial y solicitar la imposición de una prohibición temporal de que una persona física ejerza funciones de dirección a nivel de director general o representante legal’ y el art. 20 Gobernanza, expone que los Estados miembros velarán por que los Órganos de Dirección:
- Aprueben las medidas para la gestión de riesgos de ciberseguridad adoptadas,
- Supervisen su puesta en práctica, y
- Respondan por el incumplimiento.
José Antonio Sánchez Durán, Senior Consultant & Advisor
Govertis, parte de Telefónica Tech
