La directiva NIS2 está dando forma a las obligaciones de ciberseguridad en toda la UE. Con 10 Estados miembros que ya están transponiendo la NIS2 a su legislación nacional, las organizaciones se enfrentan a un creciente mosaico de requisitos de cumplimiento normativo. De hecho, la directiva amplía el ámbito para cubrir más sectores y socios externos, a la vez que introduce una mayor responsabilidad personal para el equipo directivo. En lo que respecta a las empresas multinacionales, esto significa gestionar el cumplimiento normativo dentro de un panorama normativo fragmentado, lo que requiere atención a nivel de la junta, una ejecución localizada y una estrategia clara a la hora de elevar la base de referencia en ciberseguridad de toda la empresa.

La directiva NIS2, es decir, la directiva (UE) 2022/2555, marca una evolución significativa en el enfoque de la Unión Europea en cuanto a la regulación de la ciberseguridad. Al estar diseñada para fortalecer la resiliencia digital en los servicios críticos y esenciales, la NIS2 introduce obligaciones más estrictas, una aplicabilidad más amplia y, por primera vez, responsabilidad de carácter personal para el equipo directivo de la empresa.

Estado de implementación: un mosaico de leyes nacionales

De momento, 10 Estados miembros de la UE han transpuesto la directiva NIS2 a su legislación nacional, cada uno con su propio marco jurídico y órgano de aplicación:

• Bélgica: Ley del 26 de abril de 2024 sobre ciberseguridad de redes y sistemas para la seguridad pública
• Croacia: Ley de ciberseguridad
• Grecia: Ley sobre la autoridad nacional de ciberseguridad y otras disposiciones
• Hungría: Ley XXIII de 2023 sobre certificación y supervisión de ciberseguridad
• Italia: Decreto legislativo n.º 138 del 4 de septiembre de 2024
• Letonia: Ley nacional de ciberseguridad
• Lituania: Ley de seguridad cibernética n.º 12-1428
• Rumanía: Ordenanza de emergencia sobre ciberseguridad del ciberespacio nacional civil
• Eslovaquia: Ley 366/2024 que modifica las normativas de ciberseguridad existentes
• Finlandia: Ley de ciberseguridad (Kyberturvallisuuslaki)

Aunque los avances son notables, la divergencia en la forma en que cada Estado miembro estructura los requisitos operativos y de aplicación de la normativa está empezando a revelar un desafío clave de la NIS2: la variabilidad.

Un panorama de aplicación fragmentado para las organizaciones multinacionales

A diferencia de las regulaciones centralizadas, la NIS2 permite que cada Estado miembro pueda definir sus procedimientos de aplicación específicos e incluso ampliar la aplicabilidad de la directiva. Esto da lugar a un panorama normativo fragmentado que es especialmente problemático para las organizaciones multinacionales que operan en múltiples jurisdicciones de la UE.

Las organizaciones deberán tener en cuenta:

• Diferentes definiciones de entidades «importantes» y «esenciales»
• Variación de los plazos y las autoridades nacionales para la notificación de incidentes
• Sanciones específicas del país y requisitos de auditoría
• Criterios ampliados para la inclusión en el ámbito de aplicación de acuerdo con los criterios nacionales

El resultado es una ampliación del cumplimiento normativo, una ampliación que exige el ajuste entre los equipos de ciberseguridad, funciones de riesgo y jurídico, y todo ello mientras se garantiza la coordinación continua con la autoridad de control de cada país.

Ampliación del ámbito: más entidades, mayor exposición

La NIS2 cuenta con un ámbito muy ampliado. La directiva cubre dos categorías de entidades dentro del ámbito:

• Entidades esenciales: energía, transporte, banca, salud, infraestructura digital y administración pública
• Entidades importantes: servicios postales, producción de alimentos, fabricación de productos críticos y proveedores digitales

Además, los terceros y proveedores que desempeñan un papel fundamental en la prestación de estos servicios también están sujetos a los requisitos de gestión de riesgos y diligencia debida.

Para complicar aún más la situación, los Estados miembros conservan el derecho de ampliar el ámbito a través de la legislación nacional, lo que podría llevar a más sectores u organizaciones más pequeñas bajo el paraguas de esta directiva. En lo que respecta a las organizaciones multinacionales, esto introduce incertidumbre sobre el cumplimiento normativo y aumenta la necesidad de una gobernanza centralizada con una implementación localizada.

 
Superación a través de la adversidad

Para los altos ejecutivos y miembros del consejo, la NIS2 no es solo una obligación técnica, sino un quebradero de cabeza para la directiva. En virtud del artículo 20 de la directiva, los organismos de gestión están obligados jurídicamente a aprobar y supervisar las medidas de ciberseguridad. En caso de incumplimiento normativo, podrían ser considerados responsables a título personal.

Por ello, esta cláusula presenta cambios significativos:

• La supervisión de la ciberseguridad es ahora una responsabilidad a nivel de la junta directiva
• El incumplimiento de la normativa podría resultar en sanciones a título individual, incluida la suspensión o exclusión de las funciones directivas
• Los mecanismos de aplicación son cada vez más agresivos y transparentes

Superación a través de la adversidad

Al mismo tiempo, la NIS2 crea una oportunidad real para que los directivos eleven la base de referencia en materia de ciberseguridad de la organización, no solo para cumplir con la normativa, sino también para integrar la resiliencia, la confianza y la continuidad operativa en el núcleo del negocio.

La directiva NIS2 está dando forma al panorama de ciberseguridad y riesgos en toda Europa. Su intención es clara: subir el listón, subsanar las lagunas y hacer cumplir la responsabilidad proactiva desde la parte superior de la jerarquía. Pero su estructura de aplicación descentralizada y su amplio ámbito significan que el cumplimiento normativo ya no es un ejercicio que lo abarca todo.

Para los líderes empresariales y de seguridad, el momento de actuar es ahora. Las organizaciones deben adoptar un enfoque proactivo e interdisciplinar en cuanto a la NIS2 que, a su vez, se afiance en una gobernanza sólida, marcos de generación de informes claros y responsabilidad por parte de la ejecutiva.

Para saber más sobre las soluciones de OneTrust Tech Risk & Compliance, solicita una demostración.