Login
Personas al fondo observando una pantalla de ordenador, con un recuadro con el texto NIS2 en primer plano.

NIS2

La Ley de seguridad de las redes y sistemas de información es una normativa destinada a establecer un nivel común de ciberseguridad en los Estados miembros de la Unión Europea. Su objetivo es proteger los sectores críticos estableciendo normas de ciberseguridad más estrictas. Además, aboga por la notificación rápida de incidentes y una mayor cooperación entre los miembros de la UE en materia de ciberseguridad.

24 junio 2024 · 23 min read

¿Qué es la NIS2?

La Directiva NIS2, sucesora de la Directiva inicial sobre seguridad de las redes y sistemas de información (NIS), es una normativa fundamental para reforzar la ciberseguridad y proteger las infraestructuras críticas en toda la Unión Europea (UE). La directiva NIS2 ha subsanado las deficiencias de su predecesora y ha ampliado su alcance, reforzando la obligación de notificar incidentes y mejorando la capacidad de gestión de crisis de las organizaciones.

Para comprender la relevancia de la Directiva NIS2 se necesita tener una visión global de nuestro ecosistema digital, cada vez más interconectado. En Europa hay actualmente una infraestructura digital extensa y compleja que está presente prácticamente en todas las facetas de la vida y el comercio. Esta interconexión ofrece oportunidades excepcionales de crecimiento y eficiencia, pero también abre la puerta a multitud de posibles ciberamenazas y vulnerabilidades.

Al reforzar las defensas digitales iniciadas por la Directiva NIS original de 2016 y ampliar su cobertura, la Directiva NIS2 constituye una especie de fortaleza en nuestro panorama cibernético. Introducida en 2022, la nueva Directiva NIS2 responde al aumento de amenazas cibernéticas cada vez más sofisticadas y dañinas estableciendo una estrategia de defensa sólida, global y adaptable.

Documento con la NIS2 junto a una checklist que simboliza los requisitos establecidos en la normativa.

Panorama actual de las amenazas en Europa: ¿por qué la NIS2?

Los hackers no dejan de innovar y evolucionar, por lo que el panorama de las amenazas ha empeorado drásticamente en los últimos años. Los avances tecnológicos, especialmente la inteligencia artificial, juegan un papel fundamental, ya que permiten a los ciberdelincuentes crear amenazas más sofisticadas y eficaces. Además, cada vez se profesionalizan más, por lo que les resulta más sencillo que nunca lanzar ataques. Existen, incluso, plataformas específicas para ciberdelincuentes que funcionan de un modo similar a los SaaS convencionales.

A este entramado tan complejo hay que añadir las tensiones mundiales y los conflictos internacionales, que se manifiestan cada vez más en el espacio digital. La guerra cibernética, el ciberespionaje y los ciberataques financiados por los Estados se están convirtiendo en herramientas muy potentes que complican aún más el panorama de las amenazas. Además, el aumento del teletrabajo ha ampliado las oportunidades para los ciberdelincuentes, que aprovechan vulnerabilidades como los dispositivos personales inseguros y las conexiones poco fiables.

Nuestro Análisis el riesgo humano 2023 confirmó estas tendencias: tres de cada cuatro profesionales de la ciberseguridad creen que el riesgo cibernético al que está expuesta su organización ha aumentado debido a la interacción de factores como la situación geopolítica, la inteligencia artificial y el teletrabajo. Además, una de cada dos organizaciones ha sido víctima de un ciberataque y, lo que es aún más alarmante, un tercio de estos profesionales esperan otra brecha de seguridad en un futuro próximo.

Análisis del riesgo humano 2023

Leer el informe

Descubre nuestros datos de phishing, opiniones de expertos y estrategias para navegar el panorama de amenazas digitales europeo.

Este aumento de las ciberamenazas pone en peligro especialmente a sectores considerados esenciales e importantes. Estos sectores son objetivos atractivos para los ciberdelincuentes, sobre todo porque cualquier interrupción en su servicio requiere una solución inmediata. Esa urgencia los hace especialmente vulnerables al chantaje de los delincuentes, que solo buscan un beneficio económico. Según los datos de 2022 de Statista, los sectores que sufren ciberataques más a menudo son la energía, la educación, la sanidad, la administración pública, el transporte, los medios de comunicación y las telecomunicaciones.

En vistas de la magnitud de esta ofensiva cibernética se han introducido medidas reguladoras como la Directiva NIS2 y DORA. Estos esfuerzos legislativos guían a las organizaciones europeas en tiempos tan turbulentos como los actuales. Su principal objetivo es fomentar una respuesta coordinada y garantizar que las entidades estén mejor equipadas para combatir unas ciberamenazas que no dejan de evolucionar.

¿Cuáles son los objetivos de la NIS2?

La NIS2 va un paso más allá en la resiliencia digital y la gestión de las amenazas. Sirve como hoja de ruta para evitar las interrupciones en la actividad empresarial, mejorar las colaboraciones y fomentar que los trabajadores estén bien formados en materia de seguridad. La NIS2 aspira a conseguir lo siguiente:

  • Aplicar prácticas de gestión de activos que permitan identificar y proteger los activos y los sistemas de información críticos.
  • Informar a las autoridades pertinentes y asegurar la capacidad de respuesta ante incidentes.
  • Formular y poner en marcha estrategias de ciberseguridad y protocolos de gestión de riesgos.
  • Establecer protocolos de gestión de incidentes, obligación de notificación de incidentes y planes de respuesta.
  • Diseñar una estrategia para garantizar la continuidad de los servicios críticos durante incidentes cibernéticos.
  • Poner en marcha medidas de seguridad en la cadena de suministro para revisar y garantizar la seguridad de terceros.
  • Impartir formación y concienciar a los empleados sobre los mejores protocolos de ciberseguridad.
  • Garantizar que los incidentes se notifiquen a los organismos adecuados y asegurar la capacidad de respuesta ante los incidentes.
  • Eliminar las incoherencias y mejorar la comunicación y la cooperación entre los Estados miembros.

¿Cuáles son los principales cambios de la NIS2 respecto a la NIS?

La Directiva NIS inicial se introdujo como respuesta a la creciente digitalización, que supuso riesgos de ciberseguridad nuevos y más graves tanto para las organizaciones como para el público en general. Había que atajar estos riesgos para proteger los servicios críticos, la información sensible, el bienestar de las personas y la operatividad de las economías nacionales. Sin embargo, tras entrar en vigor en 2018, la Directiva NIS se aplicó de manera diferente en los diferentes Estados miembros, lo que provocó un sistema fragmentado en el que las organizaciones no aplicaron los requisitos o solo lo hicieron parcialmente. Una de las principales razones es que la definición de «proveedor de servicios esenciales» difiere de un Estado a otro, lo que pone de manifiesto la necesidad de una nueva legislación mejorada y más detallada.

Tras la necesaria revisión de la Directiva NIS, la Comisión Europea definió una nueva normativa, la Directiva NIS2, que se adapta a las necesidades actuales del mercado y subsana las deficiencias de la anterior. Más en concreto, la NIS2 amplía el alcance de lo que se considera «proveedor de servicios esenciales», establece una nueva organización de enlace en caso de crisis, impone a las organizaciones obligaciones más estrictas de notificación de incidentes, aborda la seguridad de la cadena de suministro, impone requisitos de higiene cibernética, introduce revisiones interpares (o peer reviews, en inglés) para mejorar la colaboración entre los Estados miembros y amplía las responsabilidades personales de los órganos directivos. Te invitamos a seguir leyendo para conocer más a fondo estos cambios.

Entidades y sectores adicionales

El ámbito de aplicación de la NIS2 se amplía para incluir más entidades y abarca sectores como la producción química, la fabricación de dispositivos médicos, el procesamiento de alimentos y las redes sociales, todos ellos fuera del alcance de su predecesora, la NIS. El artículo 3 de la NIS2 concreta aún más esta clasificación y sustituye los términos «operador de servicios esenciales» y «proveedor de servicios digitales» por «entidades esenciales» y «entidades importantes», clasificadas según su tamaño y su sector. Aunque estas categorías comparten obligaciones similares, las entidades esenciales están sujetas a unas medidas coercitivas y un escrutinio normativo más estrictos. A continuación, encontrarás la lista completa de las entidades a las que se aplica la NIS2.

Red Europea de Organizaciones de Enlace para la Gestión de Cibercrisis (EU-CyCLONe)

Según el artículo 16, la Comisión constituirá una organización llamada EU-CyCLONe compuesta por representantes de los países de la UE encargados de gestionar las crisis cibernéticas y, si es necesario, por representantes de la Comisión Europea. Su principal objetivo es armonizar la forma en que los países abordan los principales problemas de ciberseguridad. Para ello, debe: 

  • Garantizar que los países estén bien preparados para hacer frente a grandes incidentes y crisis de ciberseguridad.
  • Desarrollar una comprensión común de lo que ocurre durante estos incidentes y crisis.
  • Evaluar el impacto de estos incidentes y hacer sugerencias para mejorar la situación actual.
  • Coordinar la forma en que los países gestionan estos incidentes y ayudar a los líderes políticos a tomar decisiones al respecto.
  • Hablar de los planes de respuesta de cada país para combatir los incidentes de ciberseguridad y ofrecer ayuda.

La NIS2 también establece un Grupo de Cooperación para facilitar el intercambio de información y la cooperación entre los Estados miembros. EU-CyCLONe informará periódicamente al Grupo de Cooperación sobre los incidentes y tendencias en ciberseguridad más destacados, especialmente los que afecten a organizaciones y servicios esenciales. El 17 de julio de 2024, y después cada 18 meses, la organización presentará un informe al Parlamento Europeo y al Consejo en el que explicará sus actividades recientes.

Seguridad de la cadena de suministro

El artículo 22 de la NIS2 exige a las organizaciones que maximicen la seguridad de su cadena de suministro, incluidos los riesgos derivados de las relaciones con proveedores externos. Esto es crucial porque muchos ciberataques se producen debido a vulnerabilidades de terceros, por lo que las organizaciones tienen que evaluar la calidad y la resistencia de los productos y servicios que utilizan para asegurarse de que no serán un punto débil para ellos. También es importante que las organizaciones evalúen cómo gestionan la ciberseguridad sus proveedores externos y si sus medidas actuales son lo suficientemente buenas como para proteger toda la cadena de suministro.

Las entidades que prestan servicios importantes a los Estados miembros (como servicios de DNS, registros de nombres TLD, registros de nombres de dominio, computación en la nube, centros de datos, redes de distribución de contenidos, servicios gestionados, seguridad gestionada o tiendas en línea, motores de búsqueda o redes sociales) pero residen fuera de la Unión tienen que nombrar a un representante dentro de Europa. Dicho representante será el responsable de que se cumplan las obligaciones que establece la NIS2 y de notificar los incidentes de seguridad.

Para garantizar un nivel común de ciberseguridad con todos los proveedores y reducir las posibilidades de incidentes cibernéticos, los proveedores de servicios esenciales deben incluir las medidas correspondientes en los contratos que suscriban con terceros.

Proceso de notificación de incidentes más estricto

Para garantizar una respuesta rápida, el artículo 23 de la NIS2 les exige a las organizaciones afectadas que envíen una notificación al Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT) o a una autoridad nacional competente en el plazo de 24 horas tras sufrir un ciberataque significativo. Se considera un ataque significativo aquel que causa una interrupción grave de los procesos o pérdidas financieras cuantiosas a la organización o que causa daños materiales o inmateriales considerables a otra persona. Si es necesario, las organizaciones también pueden pedir ayuda para aplicar posibles medidas tras el ataque. Las autoridades responderán a la notificación, ofrecerán orientación sobre cómo gestionar el incidente e informarán a otros países afectados si es necesario.

En un plazo de 72 horas tras conocerse el incidente, la organización afectada debe facilitar detalles sobre el mismo y una evaluación inicial de la situación. Por último, en el plazo de un mes tras la notificación del incidente, la organización debe presentar un informe con una descripción detallada de la gravedad, el impacto y la causa del incidente, así como de las medidas aplicadas por la organización para mitigar la situación.

Higiene cibernética

Dado que las amenazas cibernéticas son cada vez más complejas y sofisticadas, es crucial que las organizaciones mantengan un nivel básico de higiene cibernética. Para proteger la infraestructura esencial, las organizaciones deben implantar una base común de prácticas de seguridad que incluya actualizaciones periódicas de software y hardware, cambios periódicos de contraseñas, gestión de nuevas instalaciones, un límite del número de cuentas de acceso a nivel de administrador y copias de seguridad de los datos.

Además, dado que muchos ataques se producen a través de dispositivos conectados, formar a los empleados y concienciarlos sobre las ciberamenazas más comunes es crucial para garantizar un nivel de prevención suficiente que mejore la seguridad de los proveedores de servicios esenciales de la UE.

Cuadro informativo con el párrafo de introducción de la NIS2.

Revisiones interpares

Tal y como se regula en el artículo 19 de la Directiva NIS2, el Grupo de Cooperación establecerá un sistema de revisiones interpares (o peer reviews) voluntarias para que los Estados miembros puedan aprender de las experiencias compartidas y mejorar su ciberseguridad. Las revisiones abarcarán temas como la eficacia con la que los países aplican las medidas de gestión de riesgos de ciberseguridad y las obligaciones referentes a la notificación de incidentes, las capacidades de sus autoridades competentes y el nivel de asistencia mutua e intercambio de información.

Las revisiones interpares pueden ser presenciales o virtuales, han de seguir un código de conducta y contar con plena cooperación entre las partes. Una vez concluida la revisión, los expertos en ciberseguridad elaborarán el borrador de un informe con conclusiones y recomendaciones para mejorar la ciberseguridad de la organización. Estos informes se presentarán al Grupo de Cooperación y a la red de ciberseguridad pertinente y podrán publicarse si la organización examinada lo considera oportuno.

Responsabilidad personal de los órganos directivos

Los Estados miembros deben definir las multas y sanciones para las organizaciones que no apliquen las medidas obligatorias definidas en la NIS2. Tienen hasta el año 2025 para informar a la Comisión de esas normas y medidas. Aparte de las organizaciones, el artículo 20 de la NIS2 también establece la responsabilidad personal de los órganos de gestión, como los consejos de administración y los altos cargos, a la hora de garantizar el cumplimiento de los requisitos de ciberseguridad. Cualquier incumplimiento puede dar lugar a la ejecución de medidas legales y elevadas multas.

¿A qué entidades se aplica la NIS2?

Como ya hemos indicado, la NIS2 actual se aplica a más organizaciones que su versión anterior, la NIS. En términos generales, la atención se centra principalmente en grandes empresas que prestan servicios esenciales e importantes, concretamente las que tienen un mínimo de 50 empleados o generan unos ingresos anuales de 10 millones de euros.

Para resolver el problema de las divergencias entre los Estados miembros sobre cuáles son los operadores de servicios esenciales y cuáles operadores de servicios importantes y garantizar la uniformidad, la NIS2 divide a las organizaciones en dos grupos según su ámbito de actuación: entidades esenciales y entidades importantes. También amplía el alcance de la NIS al incluir, entre otros sectores, a los fabricantes de determinados productos y servicios digitales.

Con los nuevos cambios, la NIS2 fija el umbral de las entidades esenciales en organizaciones con al menos 250 empleados, 50 millones de euros de facturación anual y 43 millones de euros de balance que operan en los sectores de la energía, el transporte, la banca, los mercados financieros, la sanidad, el agua potable, las aguas residuales, las infraestructuras digitales, la gestión de servicios de TIC, la administración pública y el sector aeroespacial.

Las entidades importantes son aquellas con menos de 250 empleados cuyo volumen de negocios anual es superior a 10 millones de euros, pero no excede los 50 millones y cuyo balance anual no supera los 43 millones. Dichas entidades operan en sectores como los servicios postales y de mensajería, la gestión de residuos, los productos químicos, la alimentación, la industria manufacturera, los proveedores digitales y las organizaciones de investigación.

Ten en cuenta que una entidad que supere el límite máximo de un sector importante pero que incumpla los requisitos para ser considerada entidad esencial, deberá cumplir esta ley como empresa importante.

Dos tablas paralelas que muestran las diferencias entre «entidades esenciales» y «entidades importantes» según la definición de la NIS2.

Se aplican las mismas medidas de ciberseguridad y los mismos requisitos de notificación de incidentes a las entidades esenciales y a las importantes. Sin embargo, ambas categorías están sujetas a diferentes regímenes de supervisión y sanción. Las entidades esenciales están sujetas a supervisión desde el momento en que entra en vigor la normativa, mientras que las entidades importantes solo se someten a una investigación si se reciben pruebas de incumplimiento.

Aunque una organización no cumpla los criterios necesarios para considerarse entidad esencial o importante, puede optar por cumplir voluntariamente la norma NIS2 para mejorar su sistema de ciberseguridad. Para registrarse, las entidades tendrán que facilitar su nombre, dirección y número de registro, indicar a qué sector de la NIS2 pertenecen, su país, sus datos de contacto y una lista de direcciones IP asignadas.

Comparación entre DORA y NIS2

Para hacer frente a los retos cada vez mayores que plantean los ciberataques y proteger los sistemas esenciales y la infraestructura digital en Europa, la Comisión Europea ha puesto en marcha recientemente dos medidas legislativas fundamentales: la NIS2 —de la que hablamos en este artículo— y la Ley de Resiliencia Operativa Digital (DORA). Ambas tienen plazos similares: DORA se propuso inicialmente en 2020 y se finalizó en 2023, y la NIS2 se introdujo y publicó en 2022 y entró en vigor en enero de 2023.

Ambas normativas pretenden mejorar la resiliencia cibernética de las organizaciones de Europa, pero tienen como objetivo a sectores diferentes. La NIS2 amplía el alcance de la anterior Directiva NIS y pretende normalizar la ciberseguridad y la gobernanza para los operadores de servicios esenciales e importantes como el transporte, las telecomunicaciones, la gestión del agua y los residuos, los centros de datos, la banca, la administración pública, las organizaciones de investigación y los servicios postales y de mensajería, entre otros. Por otro lado, DORA es una nueva normativa diseñada para mejorar la integridad de los sistemas digitales en las entidades financieras de toda Europa y armonizar la forma en que las organizaciones detectan, gestionan y notifican los riesgos relacionados con las TIC.

Aunque tienen un alcance distinto, tanto la NIS2 como DORA aspiran al objetivo común de unificar los esfuerzos de las organizaciones de toda Europa en materia de ciberseguridad, proteger la integridad de la información y mitigar el riesgo cada vez mayor de ciberataques.

Plazos para cumplir los requisitos de la NIS2

En julio de 2016, el Parlamento Europeo y el Consejo de la Unión Europea adoptaron la Directiva NIS para aumentar el nivel general de ciberseguridad en la UE y mejorar la resiliencia de las infraestructuras críticas. Entró en vigor en agosto de 2016 con un plazo de 21 meses para que los Estados miembros la incorporaran a su ordenamiento jurídico nacional antes de mayo de 2018. En esa fecha, los proveedores de servicios esenciales y servicios digitales debían cumplir plenamente la normativa de ciberseguridad y las obligaciones de notificación de incidentes establecidas en la NIS.

Sin embargo, con el avance de la digitalización y los repetidos ciberataques, en 2020 se puso de manifiesto la necesidad de una legislación más avanzada que protegiera los sistemas y la información de los proveedores de servicios críticos y ampliara el ámbito de aplicación para incluir a algunos sectores importantes. Para abordar estos retos, la Comisión Europea propuso en diciembre de 2020 una versión actualizada de la Directiva NIS denominada NIS2. Tras un año de revisión y negociación, la Directiva NIS2 se acordó en 2022 y se publicó en el Diario Oficial el 27 de diciembre de 2022.

La NIS2 entró en vigor oficialmente el 16 de enero de 2023. Los Estados miembros tienen hasta el 17 de octubre de 2024 para adoptar y publicar las medidas de la NIS2 en la legislación nacional de cada país para garantizar su cumplimiento. El incumplimiento de la NIS2 en el plazo establecido puede acarrear diversas multas y tasas, tanto a nivel personal como para la organización en su conjunto.

El 17 de julio de 2024 y cada 18 meses a partir de entonces, UE-CyCLONE debe presentar un informe de evaluación de su trabajo. La red CSIRT también deberá presentar un informe antes del 17 de enero de 2025 en el que se evalúen los progresos realizados por los Estados miembros en materia de cooperación y se extraigan conclusiones y recomendaciones basadas en las revisiones interpares. Antes del 17 de abril de 2025, los Estados miembros deben identificar y establecer una lista de todas las organizaciones esenciales e importantes que recaen dentro del ámbito de aplicación de la NIS2.  

La NIS2 actual se revisará en octubre de 2027, tres años después de su adopción.

Infografía con una línea del tiempo que muestra las fechas más importantes de la adopción de la NIS2.

Consecuencias del incumplimiento de la NIS2

La Directiva NIS2 establece un conjunto básico de sanciones por infracciones relacionadas con la gestión de riesgos de ciberseguridad y con la obligación de notificar los incidentes. Las penalizaciones para las organizaciones que incumplan los plazos estipulados pueden adoptar diversas formas, como penalizaciones no monetarias, multas administrativas y sanciones penales. Sin embargo, el importe exacto de las multas varía teniendo en cuenta la organización y la diferencia entre la aplicación prevista y la real.

  • Las autoridades nacionales de supervisión pueden imponer penalizaciones no monetarias, incluidas órdenes de cumplimiento legal, instrucciones vinculantes, órdenes de aplicación de auditorías de seguridad y órdenes de notificación de amenazas a los clientes de las entidades.
  • Las multas administrativas son distintas para las entidades esenciales y las importantes según la definición de la NIS2. La nueva normativa obliga a las autoridades nacionales a imponer a las entidades esenciales una multa máxima de al menos 10 millones euros o el 2 % de sus ingresos anuales globales, si esta cifra es superior. Las entidades importantes pueden ser sancionadas con una multa máxima de al menos 7 millones de euros o el 1,4 % de sus ingresos anuales globales, si esta cifra es superior.
  • A diferencia de su predecesora, la NIS2 extiende más allá del departamento informático la responsabilidad de implantar y mantener las medidas de ciberseguridad e incluye ahora a los altos directivos. Ahora los Estados miembros también pueden responsabilizar personalmente a los altos directivos si se produce un incidente cibernético por negligencia grave de la empresa. Algunas de las sanciones incluyen la publicación de las infracciones de cumplimiento, la revelación de la identidad de las personas físicas y jurídicas responsables de la infracción y su naturaleza y, si la organización es una entidad esencial, la prohibición de que una persona ocupe cargos directivos en caso de infracciones reiteradas.

Próximos pasos: cómo cumplir la NIS2

Aunque la plena aplicación de la NIS2 requiere un largo plazo de 24 meses, es vital prepararse bien para cumplir la normativa. La planificación de una estrategia, la coordinación con proveedores externos y la previsión presupuestaria son tareas que requieren tiempo, por lo que lo mejor es que las organizaciones tomen algunas medidas tempranas para que el proceso de implantación se desarrolle sin estrés.  

Durante el período de implementación, las entidades pueden seguir estos pasos para garantizar el cumplimiento de la normativa: 

  1. Debatir con la dirección y las partes interesadas la estrategia de implantación y evaluar cuál será la repercusión de la NIS2 en su trabajo diario.
  2. Asegurarse de que comprenden los requisitos de la NIS2 todos los miembros del consejo, los directivos, el equipo de informática y los empleados que prestan los servicios esenciales.
  3. Detectar los elementos y procesos críticos que proporcionan servicios esenciales y hacer un análisis de deficiencias para revelar las áreas en las que las medidas de ciberseguridad no cumplen los requisitos de la NIS2.
  4. Identificar a los proveedores externos que prestan servicios esenciales y sus posibles puntos débiles.
  5. Elaborar un plan de concienciación sobre ciberseguridad en el que participen todos los niveles de la organización para garantizar que tanto los empleados como los altos directivos estén al tanto de los cambios actuales y futuros en su trabajo, de las expectativas de notificación de incidentes y de otros temas de ciberseguridad.
  6. Buscar socios capaces de ofrecer apoyo y orientación para cumplir los requisitos de la ley.
  7. Asignar el presupuesto necesario para implementar los requisitos de la NIS2.
  8. Una vez implantadas todas las medidas de la NIS2, hacer un segundo análisis de deficiencias para estar plenamente seguros de que se cumple con la normativa.

Cómo puede ayudarte SoSafe a cumplir la normativa NIS2

La NIS2 pretende ampliar y mejorar la anterior Directiva NIS para que los proveedores de servicios esenciales e importantes puedan hacer frente a la amenaza cada vez mayor de los ciberataques. Para ello, las organizaciones deben adoptar un enfoque integral que tenga en cuenta los requisitos de gestión de riesgos, las obligaciones de notificación de incidentes y los planes de respuesta definidos en la NIS2.

La gestión eficaz de los riesgos constituye el núcleo de la NIS2, cuyos artículos 7, 9, 20 y 21 subrayan la importancia de formar tanto a los órganos directivos como a los empleados en general para dotarles de conocimientos y competencias suficientes que les permitan identificar los riesgos y evaluar las prácticas de gestión de riesgos de ciberseguridad.

Un importante recurso de ayuda en este sentido es la formación de concienciación gamificada de SoSafe, que incluye diversos módulos de aprendizaje que abarcan una serie de amenazas digitales y mejores prácticas de seguridad, lo que permite a los empleados reconocer las amenazas y combatirlas con eficacia. Con contenidos disponibles en más de 30 idiomas, nuestra plataforma cumple los requisitos de formación en lengua materna que están vigentes en varios países. Además, la solución Content Management de SoSafe constituye una única plataforma en la que los empleados pueden acceder a la vez a todos los módulos de formación y a las políticas de seguridad, incluidas las de tu organización, lo que refuerza el compromiso de los empleados y contribuye al cumplimiento de las normativas. Sin embargo, la sensibilización va más allá de los módulos de formación y debe integrarse en las comunicaciones que mantenemos a diario. Nuestro chatbot Sofie está integrado en Microsoft Teams, lo que te permite contactar rápidamente con todos tus empleados para enviar alertas urgentes y recordatorios automatizados en solo unos minutos.

El artículo 11 de la NIS2 exige que los CSIRT proporcionen análisis dinámicos de riesgos e incidentes y que refuercen la concienciación en ciberseguridad. Al situar el factor humano en el foco de atención, el panel de métricas y análisis de riesgos de SoSafe, que cumple la norma ISO 27001, se centra en el análisis sistemático teniendo en cuenta el factor humano y te permite hacer un seguimiento del progreso de los programas de concienciación y acceder a análisis detallados, métricas e indicadores clave de rendimiento relativos al riesgo humano de tu organización. Por otra parte, para garantizar una notificación de incidentes efectiva y a tiempo, nuestro botón de notificación PhishAssist permite a los empleados notificar cualquier incidente muy rápido, con lo que se agiliza la detección temprana de las amenazas y la notificación de incidentes de seguridad.

Estar en sintonía con la NIS2 y disponer de los recursos y la formación adecuados no solo garantizará el cumplimiento de las normativas, sino que también reforzará significativamente las defensas de tu empresa frente a las ciberamenazas y evitará las incómodas interrupciones que pueden perjudicar el éxito de tu negocio.