La ciberseguridad es una preocupación vital para cualquier empresa. Sin embargo, no todas las empresas se enfrentan al mismo nivel de ciberamenazas o de obligaciones normativas. En esta entrada del blog, explicaremos qué es la Directiva NIS2, a quién se aplica y si las pequeñas empresas necesitan tomar medidas.
¿Qué es la Directiva NIS2?
La Directiva NIS2 es la legislación de la UE sobre ciberseguridad. Establece medidas legales para aumentar el nivel general de ciberseguridad en la UE. A partir de octubre de 2024, las empresas que operen en determinados servicios esenciales o infraestructuras críticas dentro de la UE tendrán que cumplir sus requisitos de ciberseguridad.
La Directiva NIS2 se dirige principalmente a las medianas y grandes empresas. Sin embargo, si dirige una pequeña empresa, ¿cómo le afecta esta iniciativa?
¿Qué es una «pequeña empresa»?
La Recomendación 2003/361/CE1 de la Comisión Europea define claramente una pequeña empresa como aquella que emplea a menos de 50 personas y tiene un volumen de negocios anual o un balance anual inferior a 10 millones de euros.
Tengo una pequeña empresa, ¿tengo que cumplir la Directiva NIS2?
La Directiva NIS2 afecta sobre todo a las medianas y grandes empresas, y sólo una fracción muy pequeña de pequeñas empresas tiene que cumplir sus requisitos. Las pequeñas empresas que prestan servicios críticos y esenciales únicos y las que actúan como proveedores de redes de comunicaciones electrónicas o servicios de comunicaciones electrónicas disponibles al público, proveedores de servicios de confianza y registros de nombres de dominio de nivel superior (TLD) deben cumplir la Directiva NIS2, independientemente de su tamaño.
Soy una mediana empresa, ¿tengo que cumplir la Directiva NIS2?
Las empresas que emplean a más de 50 personas pero menos de 250 y tienen un volumen de negocios anual no superior a 50 millones de euros y/o un balance anual inferior a 43 millones de euros son clasificadas por la UE como «medianas empresas».
Pero aunque sea una mediana empresa, la Directiva NIS2 sólo le afectará si opera en uno de los sectores críticos especificados explícitamente en los anexos de la Directiva.
¿Por qué me aconsejaría un proveedor de seguridad que me planteara cumplir la Directiva NIS2 si la ley me dice que no es necesario?
Es probable que las soluciones de ciberseguridad diseñadas para ayudar a las empresas a cumplir la Directiva NIS2 sean más complejas y requieran conocimientos de seguridad para su implantación y gestión. En consecuencia, probablemente sean más caras de adquirir y utilizar. Por lo general, también estarán diseñadas para ser gestionadas por equipos de ciberseguridad internos o por un proveedor de servicios de seguridad gestionados (MSSP).
Sin embargo, para las pequeñas empresas sin personal informático y/o experiencia en ciberseguridad, cuanto más complejo sea un sistema, más probable es que se configure mal, lo que puede dar lugar a una solución menos segura de lo deseado.
Además, ninguna solución de software por sí sola puede garantizar el pleno cumplimiento de la Directiva NIS2, ya que las directrices de la directiva van mucho más allá de la implantación de software de ciberseguridad, exigiendo a las empresas que adopten medidas organizativas y operativas adicionales y sigan unas obligaciones de documentación exhaustivas.
También cabe señalar que la Directiva NIS2 describe las medidas de seguridad exigidas de forma muy general. En los actos delegados de la Comisión Europea y en las leyes locales adoptadas por los distintos Estados miembros para aplicar la Directiva NIS2 se incluirán más detalles sobre las medidas de seguridad específicas necesarias para cumplir los requisitos de la Directiva NIS2, ninguno de los cuales se conoce actualmente en su totalidad.
¿Qué tiene de especial una solución de ciberseguridad que me ayuda a cumplir la Directiva NIS2?
Aunque la Directiva NIS2 introduce importantes medidas de ciberseguridad y resistencia, la mayoría de las empresas (independientemente de su tamaño) no entran dentro de sus estrictos requisitos debido a su sector y perfil de riesgo. Sin embargo, comprender y adoptar voluntariamente algunas de sus mejores prácticas podría beneficiar a las pequeñas empresas a la hora de mejorar su postura de ciberseguridad y ayudar a fomentar la confianza de los clientes.
Los productos de ciberseguridad para empresas están diseñados para ser utilizados por profesionales de la seguridad o proveedores de servicios de seguridad gestionados. Por lo general, tienen muchas más funciones de las que cualquier usuario de una pequeña empresa necesitará o utilizará jamás. Por tanto, merece la pena plantearse si tiene sentido económico comprar un producto o servicio que le ayude a cumplir una directiva, pero que no es relevante para su negocio y tiene funciones que nunca utilizará.
Si desea más información sobre la Directiva NIS2, visite: https://eur-lex.europa.eu/eli/dir/2022/2555