Desde enero de 2023, 18 sectores críticos viven un periodo de adaptación a la nueva directiva europea de ciberseguridad y tienen como fecha límite el 17 de octubre de 2024. La normativa NIS2 refuerza los requisitos para garantizar un mayor nivel común de protección entre los países miembros y responder a la creciente complejidad y sofisticación de las amenazas digitales. Especialmente tras una transformación digital intensificada por la pandemia de COVID-19, se identificó la necesidad de establecer nuevas normas para cuestiones como supervisión, notificación y sanción.

Se trata de una actualización de la NIS, que es aplicada desde 2016 a seis sectores: banca, energía, agua, sanitario, transporte e infraestructura digital. Además de la inclusión de 12 sectores que antes no estaban cubiertos, la NIS2 divide los segmentos entre “sectores de alta criticidad” y “otros sectores críticos”.

• Sectores de alta criticidad: energía, transporte, banca, infraestructuras de mercados financieros, sector sanitario, infraestructura digital, administración pública, espacio, gestión de servicios TIC, aguas potables y aguas residuales.
• Otros sectores críticos: investigación, servicios postales, química, alimentación, proveedores digitales, gestión de residuos y fabricación.

La proximidad del plazo de implementación ha requerido una revisión exhaustiva de las prácticas existentes, además de, en muchos casos, la inversión en nuevas tecnologías y capacitación del personal. A medida que se acerca la fecha límite para la conformidad con la NIS2, las empresas y entidades reguladas están intensificando sus esfuerzos para cumplir con los estándares exigidos y evitar posibles sanciones por incumplimiento.

Sin embargo, la industria de Data Center no debe sufrir un gran impacto, según Miguel Rego, General Manager en Funditec y Presidente del Cluster de IA de la Comunidad de Madrid. “El sector de Data Center lleva ya tiempo haciendo los deberes. Dudo mucho que haya un Data Center con todo el trabajo por hacer. No va a ser un desafío para quien ya tiene un buen sistema de seguridad. La NIS2 no ha inventado nada que ningún modelo de best practices que ninguna compañía haya inventado ya. Constata cuestiones que para cualquier organización con un nivel de ciberseguridad mediano lo tendrá implantado”, afirmó en el evento “NIS2, Ciberseguridad, Cloud e Infrastructuras”, realizado por SPAINDC.

Maite Arcos, Consejera Independiente, experta en regulación digital y audiovisual, también analiza las consecuencias de la normativa para el sector de Data Center: “Les afecta porque son medianas o grandes empresas o bien porque son empresas de la cadena de suministro. Son empresas que velan por su ciberseguridad, pero habría que actualizar y mejorar el análisis de riesgos. Desde un punto de vista de seguridad integral hay que hacer el análisis de riesgos. Cada elemento conectado (con hardware y software) es un elemento que debe ocupar y preocupar a los responsables de ciberseguridad”.

Carlos Mateo, Presidente de la Asociación Española de Startups, resalta la ciberseguridad como ventaja competitiva para el sector. “Un data center vive de su reputación, de la protección de sus datos. La normativa puede afectar a la selección de proveedores, a la cadena de suministro, para poder mostrar más nivel de cumplimiento. Lo más importante para que la ciberseguridad se convierta en una ventaja competitiva es la transparencia y que sean claros cuando ocurre un problema”, comentó.

La NIS2 establece requisitos para que los estados miembros de la UE implementen medidas de ciberseguridad robustas, incluida la creación de autoridades nacionales de ciberseguridad, el requisito de notificación de incidentes significativos, la imposición de sanciones y la promoción de la cooperación entre los países de la UE para hacer frente a las amenazas cibernéticas transfronterizas.

Sin embargo, la regulación todavía genera dudas sobre los impactos al sector público. “Es más concreta que la NIS, pero aún deja muchos aspectos abiertos a la interpretación. La amenaza de la sanción junto con los temas de pérdida de reputación son palancas que motivan en el sector privado, pero hay que preguntarse cómo afectará al sector público. ¿Por qué hay muchos ayuntamientos que no implantan la NIS2? ¿Y qué pasa si no se implantan?”, cuestionó Miguel Rego.

“¿Quién tiene la responsabilidad última de esto? Si en las privadas los responsables son los Consejos de Administración, ¿qué pasa con la Administración? Y de hecho afecta a más personas. ¿Qué utilidad tiene implementar una multa para un organismo público?”, completó Carlos Mateo.