Directiva NIS2 para cambiar la Ciberseguridad. Repercusión en las organizaciones

La Directiva NIS2 (Network and Information Systems, siglas en inglés) es una pieza de la legislación de ciberseguridad de la Unión Europea que sustituye y complementa la Directiva NIS1 original, adoptada en julio de 2016.

La actual Directiva NIS2, publicada diciembre de 2022, que establece una lista de medidas mínimas que deben adoptar todas las entidades, tendrá que ser transpuesta por cada Estado miembro de la UE a la legislación nacional y entrará en vigor en octubre de 2024.

Manuel Sánchez Gómez-Merelo
Consultor Internacional de Seguridad

Esta Directiva extiende las normas de ciberseguridad a nuevos sectores de actividad, en función del tamaño de la organización y su nivel de criticidad.

Directiva NIS2 para cambiar la Ciberseguridad. Repercusión en las organizaciones, por Manuel Sánchez Gómez-MereloNos enfrentamos a una normativa con requisitos precisos y estrictos en la gestión de los riesgos y la notificación de los incidentes, ampliando el alcance a nuevos sectores críticos que no estaban contemplados en la normativa anterior NIS, e incorporando la aplicación de sanciones mucho más severas, efectivas, proporcionadas y disuasorias ante cualquier incumplimiento de las disposiciones nacionales adoptadas al amparo de la Directiva.

Según una reciente encuesta, el 80% de las empresas confía en cumplir la NIS2, pero el 66% no llegará a tiempo.

Objetivos

Aumentar el nivel de seguridad en la Unión Europea es el objetivo principal de la NIS2, así como homogenizar y elevar el nivel común de la ciberseguridad y la ciberresiliencia en los países miembros. Para ello, modifica responsabilidades y obligaciones de la NIS1 y endurece ciertas condiciones, como son la obligación de las auditorías y certificaciones, el incremento de la responsabilidad del CISO, así como las nuevas atribuciones a ENISA (Agencia de la Unión Europea para la Ciberseguridad).

Los principales objetivos de la Directiva NIS2 son:

  • Conseguir que los Estados miembros de la UE cooperen para mejorar la ciberseguridad.
  • Establecer un sistema unificado para informar de incidentes de ciberseguridad y gestionar las crisis cibernéticas.
  • Fortalecer la seguridad de la cadena de suministro y hacer frente a las nuevas amenazas.

Es igualmente objetivo de la Norma elevar el nivel de ciberseguridad y resiliencia de los sistemas de toda la UE frente a ciberamenazas, a través de la Estrategia Nacional de Ciberseguridad (en España data de 2019, y el Plan Nacional de Ciberseguridad aprobado en 2022), adoptando medidas para la gestión de riesgos de ciberseguridad, obligaciones de notificación para las entidades, y normas de obligado cumplimiento relativas al intercambio de información sobre ciberseguridad.

Los órganos de dirección de las entidades esenciales e importantes deberán asistir, y ofrecer periódicamente formación especializada similar a sus empleados, al objeto de adquirir conocimientos y destrezas suficientes que les permitan detectar riesgos y evaluar las prácticas de gestión de riesgos de ciberseguridad, y su repercusión en los servicios proporcionados por la entidad.

Directiva NIS2 para cambiar la Ciberseguridad. Repercusión en las organizaciones, por Manuel Sánchez Gómez-MereloLos pasos para la implementación de la NIS2 deben comenzar con medidas organizativas y técnicas que van desde la revisión interna hasta la formación específica, preparando a las entidades para cumplir no solo con la NIS2, sino también con lo próximo: el Acta de Resiliencia Cibernética (CRA) de la UE.

La NIS2 introduce un proceso de notificación de incidentes en fases, que obliga a las organizaciones a informar a las autoridades dentro de las primeras 24 horas de haber detectado un incidente significativo. Esto permite una respuesta más rápida y coordinada a los ciberataques, minimizando el impacto potencial.

Los Estados miembros velarán por que los Órganos de Dirección:

  • Aprueben las medidas adoptadas, para la gestión de riesgos de ciberseguridad,
  • Supervisen su puesta en práctica, y
  • Respondan por el incumplimiento.

En resumen, la Directiva NIS2 (Network and Information System 2) es una disposición legal que establece un objetivo a alcanzar por los países de la UE y que define unos requisitos mínimos para la ciberseguridad de las infraestructuras críticas y esenciales.

Ámbito de aplicación

INCIBE-Foto_Seguridad_IoTCon relación al ámbito de aplicación de dicha Directiva NIS2 en ciberseguridad, se amplía, se concreta y se define dos grupos: entidades esenciales y entidades importantes, aumentando las que se verán obligadas a aplicar los requisitos de ciberseguridad que establece la Directiva.

Entidades esenciales:

  • Sector Transporte
  • Sector Energía
  • Sector Banca
  • Infraestructura de los mercados financieros
  • Sector Sanitario
  • Suministro y distribución de agua potable
  • Infraestructura digital y servicios TIC
  • Sector aguas residuales
  • Sector Administración Pública
  • Sector Espacio y Navegación Aérea

Entidades importantes:

  • Sector Correos y mensajería
  • Sector gestión de residuos
  • Sector fabricación, industria y distribución
  • Sector producción y distribución de substancias y mezclas químicas
  • Sector producción, transformación y distribución de alimentos
  • Sector proveedores de servicios digitales

Aspectos claves de la Directiva NIS2

Aparte de intentar homogeneizar, para acabar con las diferencias entre los Estados y elevar el nivel de ciberseguridad de las organizaciones, la responsabilidad, la dirección y el liderazgo en materia de ciberseguridad pasa a ser de dos actores principales: el Consejo de Administración de la organización que entre dentro del ámbito de aplicación y el CISO (Chief Information Security Officer) de la compañía.

A partir de estos puntos de vista, en la Directiva cabe destacar y resumir los siguientes aspectos clave:

  • Se amplía el ámbito de aplicación y se concreta para definir a qué organizaciones y actividades afecta la Directiva NIS2
  • Se asigna nuevas responsabilidades a ENISA, como, por ejemplo, la de construir un marco normativo más uniforme, asesorar y orientar a los Estados miembros y a las Autoridades competentes en la definición de sus estrategias en materia de Ciberseguridad.
  • Se define y evalúa el establecimiento de plataformas de gestión del riesgo y ciberamenazas.
  • Se mejora la gestión de incidentes de ciberseguridad. Para ello, se crea una red (EU-CyCLONe) que se ocupe de la gestión coordinada de dichos incidentes, así como del intercambio de información.
  • Se refuerza la revisión de la eficacia de las políticas de ciberseguridad y se da más responsabilidad a la figura del CISO en las organizaciones.
  • Las exigencias de ciberseguridad se vuelven más estrictas, y cada Estado miembro debe garantizar que dichos requisitos se cumplen por parte de las organizaciones afectadas.
  • Se endurecen y amplían las sanciones y responsabilidades de la alta dirección, que requerirá del asesoramiento del CISO para gestionar la ciberseguridad.

Directiva NIS2 para cambiar la Ciberseguridad. Repercusión en las organizaciones, por Manuel Sánchez Gómez-MereloLa Directiva NIS2 representa una oportunidad para que los operadores de infraestructuras críticas revisen, evalúen y actualicen sus capacidades y operaciones en relación con los requisitos de ciberseguridad reforzados y generen mayor confianza de su funcionamiento.

En resumen, muchas actividades e industrias que anteriormente no estaban reguladas en términos de ciberseguridad y ciberresiliencia, deberán ahora cumplir con estrictas medidas de seguridad (prevención + protección) en sus sistemas de información y su gestión, lo que significa que un volumen estimado en más de 100.000 entidades adicionales, deberán adaptarse a los nuevos requisitos y exigencias.