En el año 2016 entró en vigor la primera versión de la Directiva NIS con el objetivo de estandarizar las medidas de seguridad de los Estados miembros de la Unión Europea. A partir de esto, se realizó la transposición de la Directiva NIS en España a través del Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, y posteriormente se publicó el desarrollo reglamentario de la misma a través del Real Decreto 43/2021, de 26 de enero.
En 2022 se publica la nueva Directiva (UE) 2022/2555, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión” (en adelante, Directiva NIS 2), cuyo objetivo es mejorar las medidas destinadas a garantizar un adecuado nivel común de la ciberseguridad.
En este post se van a tratar las claves principales de la Directiva NIS 2.
Ámbito de aplicación
Para saber si una empresas o entidad está obligada a cumplir con la Directiva NIS 2 se establecen dos requisitos principales: tamaño y sector de actividad. Con respecto a los sectores, se diferencian 2 tipos:
- Sectores de Alta Criticidad, entre los que se encuentran el sector de la energía, del transporte, la banca, infraestructuras de los mercados financieros, sanitario, agua potable, aguas residuales, infraestructura digital, gestión de servicios de TIC, entidades de la Administración Pública y espacio.
- Otros sectores críticos: Servicios postales y de mensajería, gestión de residuos, fabricación, producción y distribución de sustancias y mezclas químicas y fabricación.
La directiva aplicará a entidades esenciales y a las entidades importantes. Entendiéndose a las entidades esenciales como aquellas que pertenezcan a los sectores de criticidad que superen los límites máximos previstos, así como los prestadores cualificados de servicios de confianza y registros de nombres de dominio de primer nivel y proveedores de servicios de DNS, independientemente de su tamaño.
También serán entidades de este tipo los proveedores de redes públicas de comunicaciones electrónicas o de servicios de comunicación electrónicos disponibles para el público que sean consideradas medianas empresas (>50 empleados), entidades de la Administración Pública, cualquier otra entidad perteneciente a otros sectores críticos que el Estado miembro identifique como entidad esencial, las entidades críticas identificadas por la Directiva CER y, si así lo dispone el Estado, las entidades identificadas como operadores de servicios esenciales de conformidad con la anterior Directiva NIS.
En cuanto a las entidades importantes, serán todas aquellas entidades que pertenezcan a los sectores de alta criticidad o a otros sectores críticos que no pueden considerarse entidades esenciales.
Además, los Estados miembros deberán establecer entidades competentes de la ciberseguridad, que estarán encargadas de supervisar la aplicación de la Directiva. Encontramos una serie de organismos vinculados a la Directiva NIS 2, que son:
Autoridades competentes, responsables de la supervisión de las entidades mediante inspecciones, análisis de seguridad o auditorías.
Equipos de respuesta a incidentes de seguridad informática (CSIRT), tienen la obligación de prestar asistencia a las entidades esenciales e importantes afectadas por cualquier accidente.
Red CSIRTS, cuyo principal objetivo será el intercambio de información de incidentes, cuasincidentes, ciberamenazas, etc.
Grupo de cooperación, cuya finalidad será proporcionar a las autoridades competentes orientación con la transposición y aplicación de la Directiva, desarrollo y ejecución de políticas sobre divulgación coordinada de vulnerabilidades, intercambio de buenas prácticas e información relacionada con la aplicación de la Directiva, ciberamenazas, vulnerabilidades, etc.
Red europea de organizaciones de enlace para la crisis de ciberseguridad (EU-CyCLONe), su cometido es respaldar la gestión de los incidentes y crisis de ciberseguridad a gran escala.
Impacto de la Directiva NIS 2 sobre las entidades afectadas
Las entidades esenciales e importantes deberán tener en consideración aspectos como:
1. La gobernanza
Los Órganos de Dirección de las entidades van a adquirir ciertas responsabilidades. Por un lado, deberán aprobar las medidas para la gestión de riesgos de ciberseguridad y supervisarán su puesta en práctica, ya que serán los responsables en caso de incumplimiento. Y, por otro lado, los integrantes de dichos Órganos deberán asistir a formaciones de gestión de riesgos de ciberseguridad de manera periódica, así como alentar a sus empleados para adquirir conocimientos y destrezas en la gestión de riesgos de ciberseguridad.
2. Medidas para la gestión de riesgos de ciberseguridad
Las entidades deberán, como mínimo, teniendo en cuenta lo que dicte la transposición del Estado miembro, adoptar medidas relativas a los siguientes puntos:
- Establecer políticas de seguridad de los sistemas de información y análisis de riesgos.
- Contar con un proceso completo de gestión de incidentes.
- Contemplar la continuidad de las actividades.
- Contemplar la seguridad de la cadena de suministros.
- Considerar la seguridad en la adquisición, el desarrollo y el mantenimiento de redes y sistemas de información.
- Contar con prácticas básicas de ciberhigiene y formación en ciberseguridad.
- Establecer políticas y procedimientos sobre el uso de la criptografía y el cifrado.
- Contemplar la seguridad relativa a los recursos humanos, políticas de control de acceso y la gestión de activos.
- Hacer uso de soluciones de autenticación multifactor o de autenticación continua.
3. La gestión y notificación de incidentes
La NIS II estipula que los Estados miembros se deberán asegurarse de que las entidades esenciales e importantes notifiquen a su CSIRT de referencia, o entidad competente, cualquier incidente que tenga un impacto significativo en la prestación de servicios. En el caso de que el incidente pudiera afectar a usuarios de ese servicio esencial, la entidad deberá notificarlo también a dichos usuarios.
Además, se deberá comunicar a los destinatarios del servicio que pueden verse afectados por una ciberamenaza significativa, las medidas o soluciones que dichos destinatarios puedan aplicar en respuesta a la amenaza.
Las notificaciones se realizarán por fases. La notificación de alerta temprana (a las 24 horas del incidente), la notificación intermedia (a las 72 horas del incidente) y la final (al pasar un mes desde el incidentes).
4. Mecanismos de intercambio de información sobre ciberseguridad
El principal objetivo de estos intercambios de información es prevenir, detectar o responder ante incidentes, recuperarse de ellos o reducir, en la medida de lo posible, su repercusión, reforzando así el nivel de ciberseguridad de las entidades. Para ello, los Estados miembros facilitarán el establecimiento de los mecanismos de intercambio de información sobre ciberseguridad y establecerán la exigencia de que se formalicen los acuerdos para que se lleven a cabo de manera segura entre los participantes.
Cualquier participación en este tipo de acuerdo deberá ser notificado por parte de las entidades esenciales e importantes a las autoridades competentes, así como su retirada, cuando proceda. En este intercambio de información también podrán participar entidades que no entren del ámbito de aplicación de la Directiva NIS II de forma voluntaria.
Régimen sancionador
Las sanciones deberán ser efectivas, proporcionales y disuasorias teniendo en cuenta las circunstancias en cada caso particular. A la hora de realizar la transposición y establecer el régimen sancionador, los Estados miembro tomarán como referencia las siguientes cuantías en función del tipo de entidad:
- Para las entidades esenciales, las sanciones podrán ser, optándose por la de mayor cuantía de hasta:
- 10.000.000 €
- Máximo de un 2% del volumen de negocio anual total a nivel mundial del ejercicio financiero anterior.
- Para las entidades importantes, las sanciones podrán ser, optándose por la de mayor cuantía,de hasta:
- 7.000.000 €
- Máximo de un 1.4% del volumen de negocio anual total a nivel mundial del ejercicio financiero anterior.
Los Estados miembros tendrán como fecha límite el 17 de enero de 2025 para la comunicar el régimen de sanciones aplicables por incumplimiento a la Comisión Europea.
Conclusiones
Ha comenzado el periodo de transposición de la Directica para los Estados Miembros de la UE a su legislación nacional. Este plazo finalizará, a más tardar, el 17 de octubre de 2024, momento en el cual ya se deberán haber completado las labores de adaptación y publicación de las transposiciones.
Además, los Estados miembro tendrán el 17 de abril de 2025 como fecha límite para la elaboración de las listas de entidades esenciales e importantes. Es por todo esto que las entidades deben tener en cuenta la actualización de la presente Directiva NIS 2 para poder adecuarse durante los próximos meses, tanto aquellas a las que ya les aplicaba la regulación anterior como las nuevas a las que les aplicará.
Añadiendo que deberán estar atentas a la actualización de las leyes actuales a nivel nacional a medida que vayan adecuándose a esta nueva Directiva, lo que permitirá aclarar las dudas principales que pueden haber quedado pendientes actualmente.
Si tu empresa se ve afectada y debe adaptarse a los requerimientos de la Directiva NIS 2, confía en un despacho de abogados especializado en ciberseguridad.