La Directiva NIS2 (Directiva (UE) 2022/2555) representa un paso importante en la evolución de las políticas de ciberseguridad en la Unión Europea, mejorando significativamente la gestión de riesgos de ciberseguridad y la respuesta a incidentes dentro de los estados miembros.

Aquí tenéis algunos puntos clave a considerar:

Los cambios más importantes de la NIS2 de un vistazo.

Estos serían los cambios más importantes que introduce la nueva Directiva NIS2 con respecto al NIS del 2016.

  • Afecta a un número mayor de empresas.
  • Se han añadido siete nuevos sectores importantes.
  • Las empresas deben poder evaluar el riesgo de un ciberataque en toda su cadena de suministro.
  • La gestión del riesgo cibernético se convierte en algo obligatorio.
  • Las empresas deben proporcionar una formación para los empleados y auditorías completas en materia de ciberseguridad.
  • La dirección es personalmente responsable de cualquier daño causado al incumplir sus obligaciones de gestión del riesgo cibernético.
  • Se podrán imponer diferentes sanciones en caso de infracción.
  • Es obligatorio adherirse a estrictos requisitos de presentación de informes. La autoridad supervisora es la Oficina Federal para la Seguridad de la Información (BSI).
  • Los Estados Miembros deben designar a un CSIRT (Equipo de respuesta ante incidentes de seguridad informática) nacional. Haga clic aquí para encontrar más información específica del país.

Objetivos y obligaciones generales de la Directiva NIS2.

NIS2 establece obligaciones de ciberseguridad para los Estados miembros, incluidas medidas para la gestión de riesgos de ciberseguridad y obligaciones de notificación para las entidades en su ámbito de aplicación.

Requiere que los estados miembros elaboren, mantengan y comuniquen listas de entidades esenciales e importantes, adoptando medidas adecuadas para su protección​.

Ampliación del alcance y entidades afectadas.

NIS2 extiende su alcance para incluir más sectores y entidades, eliminando la distinción entre Operadores de Servicios Esenciales (OSE) y Proveedores de Servicios Digitales (PSD) de la directiva anterior.

Introduce un enfoque revisado para determinar las entidades reguladas, basado en el tamaño de la empresa, y especifica que todas las empresas medianas y grandes en los sectores cubiertos por NIS2 entran en su ámbito​.

Responsabilidades y formación de la dirección.

Se pone énfasis en la responsabilidad de los órganos de gestión de las empresas (tanto del Consejo de Administración como el Chief Indormation Security Officer (CISO) de la compañía.

Éstos deben aprobar y supervisar la implementación de medidas adecuadas para la gestión de los riesgos de ciberseguridad. Además, se establece la obligación de formación continua para los miembros de los órganos de dirección y sus empleados​.

Notificación de incidentes.

La Directiva establece procedimientos y plazos detallados para la notificación de incidentes significativos a los CSIRTs, introduciendo un enfoque escalonado para las obligaciones de notificación, que incluye una alerta temprana dentro de las 24 horas y un informe completo a más tardar un mes después de la notificación del incidente​.

Énfasis en la ciberseguridad proactiva.

NIS2 promueve un enfoque proactivo hacia la ciberseguridad, destacando la importancia del intercambio y comprensión fluida de la información sobre amenazas y respuestas a incidentes​.

Importancia del código abierto.

Reconoce la importancia del código abierto en la ciberseguridad, promoviendo la transparencia y la colaboración en la identificación y mitigación de vulnerabilidades​.

Sanciones por incumplimiento.

Establece sanciones por incumplimiento, con multas que pueden alcanzar hasta 10 millones de euros o el 2% del volumen de negocios total anual global para entidades esenciales, y hasta 7 millones de euros o el 1,4% para entidades importantes​.

La Directiva NIS2, al expandir el alcance de la regulación anterior y establecer obligaciones más estrictas para una mayor variedad de entidades, representa un paso significativo hacia una Unión Europea más segura en el ámbito digital.

¿A quién afecta NIS2?

Será de obligado cumplimiento a partir del 15 de octubre de 2024, para empresas :

Que sean Infraestructuras críticas

Pertenezcan a uno de los 18 sectores* (11 esenciales y 7 importantes descritos en la Directiva). Y también si tiene al menos 50 empleados y una facturación anual mínima de 10 millones de euros.

Tengan entre 50 y 249 empleados, con una facturación menor que 50 millones de euros y/o un balance financiero por debajo de los 43 millones de euros.

Tengan a partir de 250 empleados, facturación mínima de 50 millones de euros y/o un balance financiero mínimo de 43 millones de euros.

Hay varios casos especiales incluidos en la categoría de sectores esenciales afectados por la Directiva NIS2 con independencia de su tamaño, tal y como los prestadores cualificados de servicios de confianza, Registros TLD y proveedores de servicios DNS.

 

*Sectores de Alta Criticidad

  • Energía: Incluye electricidad, calefacción, refrigeración, petróleo y gas.
  • Banca: Entidades de crédito y similares.
  • Infraestructuras de Mercados Financieros: Como gestores de centros de negociación y entidades de contrapartida central.
  • Sector Sanitario: Incluye proveedores de asistencia sanitaria, fabricantes de productos farmacéuticos y laboratorios de referencia.
  • Transporte: Abarca transporte aéreo, ferroviario, marítimo, fluvial y por carretera.
  • Infraestructura Digital: Proveedores de servicios de datos, computación en nube, redes y servicios de comunicaciones electrónicas.
  • Agua Potable: Sistemas de suministro y distribución.
  • Aguas Residuales: Gestión y tratamiento.
  • Administración Pública: A nivel central y regional, con ciertas exclusiones.
  • Gestión de Servicios TIC (B2B): Proveedores de servicios tecnológicos a empresas.
  • Espacio: Actividades relacionadas con la industria espacial.

*Otros Sectores Críticos.

  • Investigación: Organismos y entidades dedicadas a la investigación.
  • Química: Fabricación, producción y distribución de sustancias químicas.
  • Alimentación: Producción, transformación y distribución de alimentos.
  • Servicios Postales y de Mensajería: Incluyendo todas las fases de la cadena de distribución postal.
  • Proveedores Digitales: Proveedores de servicios digitales como mercados en línea, motores de búsqueda y redes sociales.
  • Fabricación: Incluye fabricación de productos sanitarios, informáticos, electrónicos, ópticos, material eléctrico, maquinaria, vehículos de motor y otros materiales de transporte.
  • Gestión de Residuos: Servicios relacionados con la gestión de residuos.

Medidas de ciberseguridad requeridas por NIS2.

La NIS2, en su artículo 18, exige que «las entidades esenciales e importantes adopten adopten una serie de medidas, medidas técnicas y organizativas adecuadas y proporcionadas»Las medidas incluirán, al menos, las siguientes:

(a) análisis de riesgos y políticas de seguridad de los sistemas de información;

(b) manejo de incidentes (prevención, detección y respuesta a incidentes);

c) continuidad de las actividades y gestión de crisis;

d) seguridad de la cadena de suministro, incluidos los aspectos relacionados con la seguridad relacionados con las relaciones entre cada entidad y sus proveedores o prestadores de servicios, como proveedores de servicios de almacenamiento y procesamiento de datos o servicios de seguridad gestionados;

(e) seguridad en la adquisición, desarrollo y mantenimiento de redes y sistemas de información, incluido el manejo y la divulgación de vulnerabilidades;

f) políticas y procedimientos (pruebas y auditorías) para evaluar la eficacia de las medidas de gestión de riesgos de ciberseguridad;

g) el uso de criptografía y cifrado.

De manera práctica éstas serían las medidas a adoptar por las empresas en materia de ciberseguridad y gestión de riesgos

 

  • Políticas de formación en ciberseguridad a todos los empleados que estén trabajando en la empresa
  • Control de acceso a los sistemas y aplicaciones con un nivel mínimo de permisos.
  • Implantación de un sistema de autenticación multifactor (MFA)
  • Seguridad en la cadena de suministro. Es decir, las empresas deben asegurar aspectos relacionados con la seguridad con las relaciones entre entidades, sus proveedores directos o proveedores de servicios.
  • Implementación de sistemas de prevención , que permitan detectar, bloquear y/o minimizar el impacto de ciberataques (como los provocados por el ransomware)
  • Sistemas de continuidad de negocio, con sistemas de backup y recuperación ante desastres.