La Directiva (UE) 2022/2555 (NIS2) no es solo una nueva norma en materia de ciberseguridad; es un cambio cultural en la forma en que las organizaciones deben gestionar los riesgos digitales. Para responsables del tratamiento y equipos directivos, la NIS2 nos deja un mensaje claro: la ciberseguridad ya no puede delegarse exclusivamente en el departamento de IT.
La NIS2 introduce un marco sancionador armonizado que prevé multas de hasta 10 millones de euros o el 2 % del volumen de negocio anual global. Estas sanciones pueden ser impuestas entre otras causas:
-Ausencia de análisis de riesgos actualizado.
-Planes de respuesta a incidentes inexistentes.
-Notificaciones tardías a la autoridad competente.
Uno de los elementos más relevantes es la implicación directa de la alta dirección. ¿Cuáles son las exigencias que impone la NIS2 a la alta dirección?:
-Los órganos de administración deben aprobar y supervisar activamente las medidas de ciberseguridad.
-Asunción de responsabilidad por incumplimiento cuando exista negligencia grave y falta de supervisión.
-Formación obligatoria en ciberseguridad.
La NIS2 prevé sanciones elevadas por incumplimientos habituales, como mala gestión de riesgos, falta de respuesta a incidentes o notificaciones tardías.