La Directiva NIS2 marca un antes y un después en la forma en que las organizaciones, tanto públicas como privadas, deben abordar su seguridad digital, se requiere una estrategia real, integrada y demostrable en materia de ciberseguridad.
En su anexo I, la norma enumera sectores considerados críticos, como energía, transporte, banca, salud, infraestructuras digitales o administraciones públicas. Las entidades que operan en estos ámbitos deben cumplir obligaciones reforzadas: planes de continuidad, auditorías periódicas(...). Este cumplimiento no es voluntario ni declarativo: estará sujeto a supervisión activa por parte de autoridades nacionales.
El anexo II incluye sectores importantes, como alimentación, servicios postales, industria farmacéutica, producción tecnológica o determinados servicios online. Aunque las obligaciones de supervisión son algo más flexibles, estas organizaciones también deben contar con medidas preventivas robustas, capacidad de detección y planes de respuesta.
En este sentido, muchas empresas deben considerar el impacto real que tiene el cumplimiento de la Directiva NIS2. La ciberseguridad en estas entidades de los sectores considerados como críticos y sectores importantes debe considerarse como un eje estratégico del negocio.
Ya no es suficiente contar con políticas o herramientas técnicas; ahora se exige demostrar capacidad operativa real y compromiso directo de la dirección.