Ante la creciente necesidad de proteger activos digitales, la Unión Europea intensifica su compromiso con la ciberseguridad. La reciente implementación de la directiva NIS 2, un avance significativo desde la primera versión de 2016, marca un nuevo horizonte para las empresas. Con la transposición obligatoria para España prevista para octubre, esta directiva no solo eleva el listón en preparación contra ciberamenazas, sino que también posiciona a los consejeros y directivos en el centro del escenario. Entender y adoptar estas medidas no es solo un requisito, sino una estrategia esencial para la resiliencia y el liderazgo empresarial en la era digital.
Índice de temas
Qué es la directiva NIS 2
La Directiva NIS 2 (el acrónimo NIS procede de Network and Information Security) de 27 diciembre de 2022, al igual que el Reglamento DORA (que ya conocen bien las entidades financieras y de seguros), son un avance significativo en la regulación de la ciberseguridad en la UE. En este artículo nos centramos en NIS 2 que, con un enfoque amplio, abarca una variedad de sectores críticos que detallamos más abajo para que todo directivo sepa las implicaciones que tiene
Importancia y objetivos de la Directiva NIS 2
La directiva establece un marco regulatorio sólido para garantizar un alto nivel de seguridad en redes y sistemas de información. Su objetivo es asegurar que las grandes empresas, e incluso muchas medianas y algunas pequeñas que operan en servicios esenciales e importantes dentro de la UE, gestionen adecuadamente los riesgos de ciberseguridad y respondan con efectividad y eficiencia ante incidentes.
Qué sectores de la economía están afectados por NIS 2
La Directiva NIS 2 se aplica a una amplia gama de sectores (18), divididos en “Sectores de Alta Criticidad” y “Otros Sectores Críticos”.
Alta Criticidad (11): Energía, Banca, Infraestructura de Mercados Financieros, Sector Sanitario, Transporte, Aguas Potables, Infraestructura Digital, Aguas Residuales, Administración Publica, Gestión de servicios TIC y Espacio.
Otros Sectores Críticos (7): Investigación, Química, Servicios Postales, Alimentación, Proveedores Digitales, Fabricación y Gestión de Residuos.
Ademásde los anteriores, NIS 2 y de forma independiente del tamaño, aplicará a muchos operadores de sectores esenciales (OSE) y a Proveedores de Servicios Digitales (PSD) tales como proveedores de servicios de confianza, de registro de dominios, o servicios de salud, investigación, etc.
Y por último, muchísimas otras pequeñas y medianas empresas de sectores no críticos habrán de tomar medidas tambien al estar en la cadena de suministro de las compañías afectadas ya que éstas les pedirán pasar determinadas auditorías para poder seguir trabajando con ellas
Tipología de entidades afectadas por NIS 2
A la luz de los sectores antes mencionados y el tamaño, finalmente las entidades afectadas se clasifican en 2 tipos:
Entidades Esenciales: Las que pertenezcan a Alta Criticidad que superen los tamaños que se marcarán y otras que se consideren esenciales independientemente del tamaño como mencionábamos al final del apartado anterior.
Entidades Importantes: Las que no se consideren esenciales pertenezcan a Alta Criticidad o a Otros Sectores Críticos.
Las 5 medidas a adoptar si te afecta NIS 2
Las entidades afectadas por la Directiva deben adoptar medidas de (1) gobernanza, de (2) gestión de riesgos de ciberseguridad, (3) establecer un proceso completo de gestión de incidentes y (4) garantizar la continuidad de sus actividades.
Además, deben (5) contemplar la seguridad de la cadena de suministro y (6) realizar evaluaciones periódicas de la eficacia de sus políticas de gestión de riesgos.
Gobernanza y responsabilidad de los órganos o dirección de las entidades
Los Órganos de Dirección de las entidades sujetas a la Directiva NIS 2 tienen la responsabilidad de aprobar y supervisar las medidas de gestión de riesgos de ciberseguridad. En caso de incumplimiento, serán responsables.
Además, deben participar regularmente en formaciones sobre gestión de riesgos de ciberseguridad. De igual manera, se espera que alienten a sus empleados a obtener formación periódica para identificar y manejar riesgos cibernéticos, aumentando así la concienciación y habilidades en este ámbito.
Los 10 puntos clave del sistema de gestión de riesgos exigido
1. Implementar políticas de seguridad y análisis de riesgos para sistemas de información.
2. Desarrollar un proceso completo de gestión de incidentes.
3. Asegurar la continuidad de operaciones, incluyendo copias de seguridad y planes de recuperación ante desastres.
4. Garantizar la seguridad en la cadena de suministros, abarcando las relaciones de seguridad con proveedores.
5. Mantener la seguridad en la adquisición, desarrollo y mantenimiento de redes y sistemas, gestionando vulnerabilidades.
6. Crear procedimientos para evaluar la efectividad de la gestión de riesgos cibernéticos.
7. Extender mentalidad y hábitos de ciberseguridad en toda la organización con formación permanente en ciberseguridad.
8. Utilizar políticas sobre criptografía y cifrado.
9. Incluir seguridad en recursos humanos, control de acceso y gestión de activos.
10. Implementar soluciones de autenticación multifactor o continua.
Se establecerá un régimen de sanciones administrativas muy importantes y la directiva marca como referencia hasta 10 millones de euros o 2% del volumen de negocio mundial de la entidad
Notificación de incidentes
Las entidades esenciales e importantes están obligadas a notificar a las autoridades competentes cualquier incidente significativo. Esto incluye alertas tempranas en las primeras 24h, un seguimiento a las 72h y un informe final detallado del incidente como muy tarde a los 30 días. Todo ello obliga a la dirección a tomarse muy en serio los sistemas de monitorización y control si no se quieren incumplir estos requisitos.
Autoridades competentes realizarán inspecciones proactivas
Cada Estado miembro designará autoridades competentes encargadas de la supervisión a través de inspecciones, análisis de seguridad, auditorías y solicitudes de información necesarias para evaluar las medidas de gestión de riesgos. A las entidades esenciales se les realizarán inspecciones proactivas y a las importantes cuando haya indicios de incumplimiento, siendo en ambos casos igual de relevantes las consecuencias.
Régimen sancionador de la directiva NIS 2, qué multas conlleva
Se establecerá un régimen de sanciones administrativas muy importantes y la directiva marca como referencia hasta 10 millones de euros o 2% del volumen de negocio mundial de la entidad en el caso de las entidades esenciales y de 7 millones o el 1,4% del volumen de negocio para las importantes.
Transposición en 2024
Cada país tiene hasta el 17 de octubre de este año para completar la transposición de la Directiva a su legislación nacional y hasta el 17 de enero de próximo 2025 para establecer el régimen sancionador aplicable por incumplimiento.
Relación con otra regulación de ciberseguridad
La Directiva NIS 2 debe considerarse en conjunto con otras regulaciones de la UE, como el Reglamento DORA, la Directiva CER, el Reglamento sobre la Ciberseguridad y su esquema de certificación, y el futuro Reglamento para la Ciber resiliencia.
¿En qué se parecen y en qué se diferencian NIS 2 y DORA?
NIS 2 y DORA por ejemplo son muy similares en el enfoque y obligaciones para operadores y empresas. Sin embargo DORA se centra en el sector financiero y NIS2 es mucho más amplio en alcance. Tambien son diferentes en las medidas, requisitos y pruebas de resiliencia.
¿En qué se parecen y en qué se diferencian NIS 2 y CER?
NIS 2 y CER son ambas directivas (han de ser traspuestas por los estados) que persiguen mejorar la seguridad a nivel europeo. Pero CER se amplía a resiliencia física de las instalaciones de entidades críticas. Las entidades afectadas por CER son muy similares a las de alta criticidad de NIS 2 y son identificadas por las autoridades. Aunque no están sujetas a sanciones administrativas, tendrán tambien un régimen sancionador específico.
¿NIS 2 frente al Reglamento de Ciberseguridad de la UE y al futuro Reglamento de Ciberresiliencia?
Por ultimo decir que la implementación de los requisitos de NIS 2 implica actuaciones por parte de las empresas, mientras que el Reglamento de la UE sobre la Ciberseguridad y su esquema de certificación no supone por el momento ninguna obligación de certificación. Este último busca armonizar los estándares de seguridad en toda la UE. El futuro reglamente de Ciberresiliencia, aunque está aún sin desarrollar parece que se enfocará como NIS probablemente al cumplimiento de determinados requisitos en los productos y servicios ofertados por empresas e instituciones.