La Directiva NIS2 introduce nuevas obligaciones para las organizaciones en cuatro ámbitos principales: gestión de riesgos, responsabilidad corporativa, obligación de información y continuidad del negocio
Las organizaciones deben reducir los ciberriesgos para cumplir la nueva directiva. La gestión de incidentes, la mejora de la seguridad de la cadena de suministro, el refuerzo de la seguridad de las redes, un mejor control de los accesos y el cifrado son algunos de los métodos aplicados.
- Responsabilidad corporativa
La Directiva NIS2 exige a la dirección de la empresa que supervise, apruebe y reciba formación sobre los procedimientos de ciberseguridad de la entidad y que aborde los ciberriesgos. La dirección puede enfrentarse a sanciones en caso de infracción, incluida la responsabilidad civil y la suspensión temporal de los cargos directivos.
- Obligación de información
Las entidades esenciales y cruciales deben disponer de sistemas para notificar lo antes posible los sucesos de seguridad que tengan un impacto importante en su prestación de servicios o en sus destinatarios. La Directiva NIS2 establece plazos de notificación, entre los que se incluyen "preavisos’’ de 24 horas.
Las organizaciones deben planificar cómo mantendrán la actividad empresarial en caso de incidentes cibernéticos graves. Esta estrategia debe considerar la recuperación del sistema, los protocolos de actuación en situaciones de emergencia y la constitución de un equipo de gestión de crisis.