La NIS2 es la directiva europea que refuerza la ciberseguridad, dirigida a operadores esenciales y proveedores clave, entre otros, tales como energía, transporte, salud, agua, infraestructuras digitales; servicios financieros y fabricación de productos claves.
En el artículo 20 “Gobernanza “de la NIS2, se recoge uno de los aspectos fundamentales de la directiva europea, y es el papel protagonista que se otorga al órgano de dirección de las entidades, puesto que establece obligaciones explícitas para ellos.
La norma recoge entre otras obligaciones, la exigencia a los administradores de la aprobación de políticas de gestión del riesgo de seguridad cibernética y su supervisión. Es decir, tienen que velar porque la implementación de esas políticas de gestión del riesgo sea efectiva.
Otro aspecto relevante, es que los miembros de gestión de las entidades esenciales e importantes han de formarse obligatoriamente de manera periódica en ciberseguridad, con el fin de que adquieran los conocimientos y aptitudes suficientes para permitirles identificar los riesgos y evaluar las prácticas de gestión de riesgos de ciberseguridad y su impacto en los servicios prestados por la entidad.
La NIS2 refuerza la gobernanza exigiendo a la alta dirección supervisar riesgos, garantizar la formación y asumir responsabilidad directa en ciberseguridad.