En los últimos años han aumentado las noticias sobre amenazas asociadas al aumento de la digitalización y al número de ciberataques. Un reto para las empresas, organizaciones y ciudadanos que precisaba de una legislación que impulsara el nivel general de ciberseguridad en la Unión Europea.
En su intento por mejorar las capacidades de ciberseguridad de redes y sistemas, la Unión Europea publicó en 2016 la Directiva NIS (UE) 2016/1148, cuyo objetivo era estandarizar las medidas de seguridad de los estados miembros. Entró en vigor el 9 de agosto de 2017 y, ante la constante evolución en materia de tecnología, sobre todo en herramientas de Inteligencia Artificial, han publicado la Directiva NIS2 (UE) 2022/2555, cuyo objetivo es mejorar las medidas destinadas a garantizar un adecuado nivel común de ciberseguridad.
Es aplicable desde 2023 y los Estados miembros de la UE tienen hasta el 17 de octubre de 2024 para trasladar a su legislación nacional. Esta directiva reemplaza a la directiva NIS y requiere implantar mayores medidas de seguridad en los sectores críticos del sector público y privado.
Principales diferencias entre NIS y NIS2
La principal diferencia entre ambas directivas, además de la ampliación de sectores mercantiles involucrados, radica en que las entidades esenciales deben cumplir los requisitos de la autoridad de supervisión y estarán sujetas a un control normativo más estricto, mientras que las entidades importantes deben cumplir los requisitos a posteriori, es decir, sólo se tomarán medidas si la autoridad supervisora recibe pruebas de incumplimiento.
Las entidades esenciales son entidades de sectores de alta criticidad como, por ejemplo, administraciones públicas y empresas que se ocupan de energía, transporte, sector bancario, sector sanitario, infraestructuras digitales, … Las entidades importantes son entidades de otros sectores críticos, de tamaño de mediana empresa en adelante, como por ejemplo los servicios postales y de mensajería, gestión de residuos, proveedores de servicios digitales, …
Además, esta nueva directiva conlleva una mejor cooperación entre los Estados miembros, mayor atención sobre cadenas de suministro, nuevos plazos para notificar incidentes, sanciones más estrictas y una mayor responsabilidad por parte de la dirección de las entidades.
Ampliación de sectores de NIS a NIS2
¿A quién aplica la directiva NIS2?
Esta directiva afecta a organizaciones de todos los tamaños, a diferencia de en la versión anterior, que dejaba de lado a las organizaciones más pequeñas. Así pues, tanto empresas con más de 250 empleados o un ingreso anual superior a 50 millones de euros como empresas con un número de empleados entre 50 y 250 o un ingreso anual entre 10 y 50 millones de euros están incluidas. Esto amplía de manera significativa el número de sujetos afectados a unas 110.000 organizaciones en total.
De todos los capítulos que constan NIS2, tan sólo uno de ellos, el Capítulo IV “Medidas para la gestión de riesgos de ciberseguridad y obligaciones de notificación”, determina las obligaciones de las entidades esenciales, puesto que el resto afecta los Estados de la UE y entidades gubernamentales.
Criterios de cumplimiento de NIS2
Elementos clave de NIS2
Hay cuatro elementos clave:
- Las obligaciones de información
- La gestión de riesgos
- Las obligaciones de gestión y gobernanza
- El cumplimiento y las sanciones
Abordar cada uno de ellos con diligencia será responsabilidad directa de la alta dirección y gobernanza de la organización. La comunicación de brechas de seguridad, accesos no autorizados o cualquier otro evento que afecte a la seguridad deberá ser comunicado en 24 horas y deberá detallar a la empresa supervisora una evaluación profunda del impacto en su infraestructura y datos en el plazo de 72 horas.
La gestión y análisis de riesgos, políticas y procedimientos de seguridad, autenticación multifactor, el control de accesos, así como el uso de criptografía y cifrado son algunas de las medidas requeridas por la directiva.
Las medidas de ciberseguridad requeridas son las siguientes:
- Análisis de riesgos y políticas de seguridad de la información
- Gestión exhaustiva de incidentes
- Planificación de crisis y de la continuidad del negocio
- Sólida seguridad de la cadena de suministro
- Seguridad de red empresarial
- Gestión y divulgación de vulnerabilidades
- Políticas y procedimientos que evalúan la eficacia de la gestión de riesgos de ciberseguridad
- Uso de criptografía y cifrado
- Uso de la autenticación multifactor
La directiva NIS2 especifica que los directivos de las entidades esenciales e importantes aprueben las medidas de gestión de riesgos de ciberseguridad y supervisen su implementación, y especifica que los miembros de los órganos de dirección pueden ser considerados responsables si la ciberseguridad no se cumple.
La entidad supervisora puede llevar a cabo sus propias pruebas e investigaciones basándose en las pruebas aportadas por la organización tras un incidente de ciberseguridad. También podrá solicitar e inspeccionar cualquier dato, documento, información o prueba potencial. El incumplimiento de la directiva o el entorpecimiento de los procedimientos puede llevar a sanciones tanto económicas como administrativas o penales.
Relación de NIS2 con RGPD e ISO 27001
Son normativas complementarias muy cercanas en cuanto al fondo que se diferencian en algunos pequeños detalles. Respecto a el RGPD (Reglamento General de Protección de Datos), ambos se centran en la protección de datos, aunque NIS2 aplica a todos los datos de la organización. La norma ISO 27001 proporciona un excelente marco para cumplir con las medidas de gestión de riesgos de ciberseguridad que impone la directiva NIS2.
En definitiva, la directiva NIS2 ampliará la atención de los gestores y directivos de empresas en tareas de seguridad cuyo cumplimiento ha sido muy laxo durante años y al que solo se le ha dado la importancia que tiene una vez han sido vulnerados. Con la ampliación, se cubren áreas y sectores que, con la compleja situación geopolítica y la mayor aceptación del trabajo remoto tras la pandemia, habían quedado desprotegidos.
Desde hiberus, ofrecemos una serie de servicios para proteger y ayudar a su organización a cumplir con la mayoría de los requisitos a los que obliga la directiva NIS2. En hiberus, desde nuestra área de Sistemas, ofrecemos servicios de asesoramiento de la mano de un equipo de expertos en derecho tecnológico para que puedas alcanzar tus objetivos de negocio, y te ayudamos a cumplir las normativas de ciberseguridad.
¿Quieres más información sobre el cumplimiento de la nueva directiva NIS2?
Contacta con nuestro equipo de ciberseguridad
