Directiva NIS2 — Lo que los DPDs necesitan saber

NIS2 se aplica a dos categorías de entidades: entidades esenciales y entidades importantes. Las entidades esenciales incluyen sectores como energía, transporte, banca, infraestructura de mercados financieros, salud, agua potable, aguas residuales, infraestructura digital, gestión de servicios TIC y administración pública. Las entidades importantes cubren sectores como servicios postales, gestión de residuos, fabricación, producción alimentaria, productos químicos y proveedores digitales. Los umbrales de tamaño son sencillos: las organizaciones con más de 50 empleados o más de EUR 10 millones de facturación anual en estos sectores están automáticamente incluidas. Sin embargo, ciertas entidades están incluidas independientemente de su tamaño — como los proveedores de servicios DNS, los registros de dominios de nivel superior y los proveedores de redes públicas de comunicaciones electrónicas. Para los DPDs, esto significa que muchos de sus clientes existentes pueden tener ahora obligaciones NIS2 además de sus requisitos RGPD. Identificar proactivamente qué clientes están sujetos a NIS2 le posiciona como un asesor estratégico valioso, no solo una casilla de verificación de cumplimiento.

NIS2 exige a las organizaciones afectadas implementar un conjunto integral de medidas de gestión de riesgos de ciberseguridad. Estas incluyen: políticas de análisis de riesgos y seguridad de sistemas de información, procedimientos de gestión de incidentes, continuidad del negocio y gestión de crisis, seguridad de la cadena de suministro, seguridad en la adquisición y desarrollo de redes y sistemas de información, políticas para evaluar la eficacia de las medidas de ciberseguridad, prácticas básicas de ciberhigiene y formación, políticas de criptografía, seguridad de recursos humanos, control de acceso y gestión de activos. Las organizaciones también deben notificar incidentes significativos a su autoridad nacional en un plazo de 24 horas como alerta temprana, 72 horas para una notificación completa y un mes para un informe final. Esta obligación de notificación escalonada es más estricta que la notificación de brechas de 72 horas del RGPD y requiere procedimientos de respuesta a incidentes bien preparados. La superposición entre las medidas de seguridad NIS2 y el artículo 32 del RGPD (seguridad del tratamiento) es sustancial. Los DPDs que ya asesoran a clientes sobre medidas técnicas y organizativas bajo el RGPD están bien posicionados para extender este asesoramiento al cumplimiento de NIS2.

El cambio más significativo que introduce NIS2 es la responsabilidad personal de los directivos. El artículo 20 exige que los órganos de dirección aprueben y supervisen la implementación de las medidas de ciberseguridad. También deben recibir formación en ciberseguridad. Es importante destacar que los órganos de dirección pueden ser considerados personalmente responsables de los incumplimientos. Las multas bajo NIS2 son sustanciales: hasta EUR 10 millones o el 2% de la facturación anual global para entidades esenciales, y hasta EUR 7 millones o el 1,4% de la facturación global para entidades importantes. Estas se suman a — no sustituyen — las multas del RGPD. Este aspecto de responsabilidad personal es lo que genera urgencia en la dirección. Como DPD, puede aprovechar esto para asegurar presupuesto y atención para proyectos de cumplimiento que de otro modo se postergarían. Los miembros del consejo que antes veían el RGPD como un centro de costes de repente se interesan mucho por el cumplimiento cuando sus activos personales están en juego.

Como DPD externo, usted ya tiene un conocimiento profundo del panorama de tratamiento de datos de sus clientes, sus medidas de seguridad y su estructura organizativa. Esto le convierte en el asesor natural para el cumplimiento de NIS2 — no necesita empezar de cero. Empiece mapeando la superposición entre los requisitos del RGPD y NIS2. Muchas de las medidas técnicas y organizativas que sus clientes ya tienen para el RGPD (cifrado, controles de acceso, procedimientos de respuesta a incidentes) satisfacen directamente los requisitos de NIS2. Documente esta superposición para mostrar a los clientes que no parten de cero. Ofrezca evaluaciones de preparación para NIS2 como un servicio adicional. Una lista de verificación estructurada que cubra todas las obligaciones NIS2, mapeada contra lo que el cliente ya tiene implementado, proporciona valor inmediato y le posiciona para la supervisión continua del cumplimiento. Utilice una herramienta que soporte tanto RGPD como NIS2 en un panel unificado. Mantener sistemas separados para el cumplimiento del RGPD y la preparación para NIS2 duplica su carga de trabajo y dificulta la identificación de sinergias. Trustee.eu combina ambos en una sola vista, para que pueda asesorar de forma integral.