La Directiva NIS2 establece requisitos de gestión de riesgos cibernéticos en sectores críticos de la UE, como infraestructuras digitales y salud. ENISA ha publicado una guía técnica para ayudar a las empresas a implementar estas normativas, abarcando políticas de seguridad, gestión de incidentes y continuidad del negocio. Esta guía, desarrollada con el grupo de cooperación NIS, busca mejorar la madurez cibernética en Europa y no sustituye las regulaciones nacionales.
La Directiva NIS2 establece que los Estados miembros de la Unión Europea deben implementar requisitos específicos para la gestión de riesgos en ciberseguridad a nivel nacional, centrados en sectores críticos como las infraestructuras digitales, la energía, el transporte y la salud. En este contexto, la regulación de implementación 2024/2690 de la Comisión Europea define las medidas necesarias para los sectores de Infraestructura Digital y gestión de servicios TIC.
En respuesta a esta normativa, la Agencia Europea de Ciberseguridad (ENISA) ha publicado una guía técnica destinada a apoyar a las empresas en la aplicación de estas regulaciones. Según Juhan Lepassaar, Director Ejecutivo de ENISA, “la implementación de NIS2 es una prioridad máxima para nuestra agencia. Estamos trabajando para lograr una mayor alineación y simplificación mediante el desarrollo de directrices prácticas y técnicas que fortalezcan la ciberseguridad en los sectores críticos europeos”.
Esta guía técnica fue elaborada en colaboración con el grupo de cooperación NIS y la Comisión, incorporando comentarios del sector privado a través de una consulta abierta. El documento abarca múltiples requisitos en materia de ciberseguridad establecidos por la regulación NIS2, incluyendo:
Abarcando desde proveedores DNS hasta plataformas comerciales online, esta guía no tiene carácter vinculante ni pretende sustituir los marcos o herramientas nacionales. Las empresas afectadas por NIS2 deben consultar primero a las autoridades locales para comprender sus obligaciones.
A fin de fomentar el desarrollo profesional en ciberseguridad dentro del marco europeo, ENISA ha creado el Marco Europeo de Competencias en Ciberseguridad (ECSF). Este marco busca abordar uno de los desafíos más importantes: fortalecer las habilidades cibernéticas entre los trabajadores. Para cumplir con la Directiva NIS2, las empresas deberán definir roles y responsabilidades específicas en ciberseguridad.
A su vez, ENISA ha publicado un documento que detalla las competencias necesarias para implementar las medidas del NIS2. Este documento ofrece un mapeo exhaustivo entre las obligaciones del NIS2 y los perfiles relevantes del ECSF, asignando tareas específicas a cada rol e incluyendo casos prácticos.