Guía completa de la Directiva NIS2: Cómo le afecta y pasos para su cumplimiento
¿Qué es la Directiva NIS2?
La Directiva NIS, o la directiva en materia de seguridad de las redes, se adoptó por primera vez en el año 2016. Se concibió para proteger las infraestructuras esenciales frente a todo tipo de amenazas cibernéticas en Europa. La nueva directiva, la NIS2, supone un paso adelante con respecto a la anterior, y amplía aún más su alcance para crear una normativa integral en materia de ciberseguridad.
Las experiencias pasadas nos han servido para observar que los ciberdelincuentes suelen atacar organizaciones e infraestructuras esenciales, las cuales sustentan las bases o el funcionamiento de servicios básicos para los gobiernos y las empresas. Por medio de esta nueva directiva, la Unión Europea pretende abordar las vulnerabilidades cruciales para crear un alto nivel de seguridad y, en el mejor de los casos, prevenir los ciberataques. En el peor de los casos, facilitar la capacidad de recuperación y la resistencia.
La directiva NIS2 exige a las organizaciones e infraestructuras esenciales el cumplimiento de unas obligaciones más estrictas en materia de seguridad e información. En comparación con la directiva anterior, la NIS2 se aplica a un espectro más amplio de organizaciones y empresas.
Veamos los 5 pilares de NIS2:
- Introducción de la estructura de gestión de crisis cibernéticas o CyCLONe
- Creación de unas obligaciones más estrictas en materia de información y su integración en el marco de la estructura de seguridad
- Enfoque en nuevos ámbitos de interés, como la cadena de distribución, el manejo de las vulnerabilidades, la higiene cibernética, la conexión principal a internet, etc.
- Introducción de las evaluaciones entre homólogos para mejorar la colaboración y el intercambio de información entre todos los Estados miembro
- Inclusión de otros sectores e industrias adicionales en los ámbitos de la protección cibernética para salvaguardar una proporción mayor de la economía
¿Por qué es importante la NIS2?
La NIS2 amplía el alcance en materia de ciberseguridad y de preparación ante la gestión de crisis. La NIS2 se concibió a raíz de los años de la pandemia, cuando las amenazas cibernéticas aumentaron drásticamente y alcanzaron niveles alarmantes. Los informes muestran que, en los últimos tiempos, tanto la cantidad como la naturaleza de los ciberataques y de las amenazas cibernéticas han evolucionado y ahora afectan a un espectro más amplio de sectores y entidades. Las medidas de protección también deben adoptar un enfoque integral para proteger el mayor número posible de organismos considerados cruciales. De ahí que la nueva directiva haya planteado una política más exhaustiva para reforzar la ciberseguridad y la capacidad de recuperación de los proveedores de servicios esenciales en Europa.
Stefanie afirma:
“El tema de la NIS2 lo están examinando actualmente los directores de seguridad de la información (CISO por sus siglas en inglés) y los consejeros, ya que se les tendrá en cuenta personalmente al valorar la debida implantación de la directiva en sus organizaciones. Enfrentarse a sanciones por incumplir la normativa constituye un nuevo nivel de responsabilidad“
Los cambios y los nuevos aspectos incluidos en la NIS2 hacen hincapié en el factor preparación. Esta nueva directiva no hace distinción entre los operadores de servicios esenciales y los proveedores de servicios digitales, sino que se centra en todas las entidades importantes y esenciales en función de su tamaño, repercusión y sector. En ese sentido, los siguientes requisitos son las diferentes formas en que la SRI2 ayudará a las infraestructuras esenciales de los servicios básicos e importantes a estar preparadas y a combatir las amenazas cibernéticas.
– Desarrollo y mantenimiento de un registro europeo de vulnerabilidades: el registro de vulnerabilidades se encargará de registrar y mantener las vulnerabilidades cibernéticas recién descubiertas en toda Europa. Se encargó un estudio para la «Revelación coordinada de vulnerabilidades (CVD por sus siglas en inglés) y bases de datos de vulnerabilidades» que concluyó en 2021 y que dará soporte al manejo de las vulnerabilidades y a la base de datos de vulnerabilidades de todos los Estados miembro.
– CyCLONe o la red de organizaciones de enlace para crisis cibernéticas: se trata de una red de cooperación para los Estados miembro europeos encargados de la gestión de crisis cibernéticas. Esta red facilitará, junto con un grupo de cooperación, una estrecha colaboración en el intercambio de información y el conocimiento de la situación. Asimismo, establecerá vínculos entre el nivel técnico (red de equipos de respuesta ante incidentes de seguridad cibernética [CSIRT por sus siglas en inglés] de la UE) y la red política de la UE.
– Informe anual sobre el estado de la ciberseguridad en la UE: el informe anual sobre ciberseguridad ayudará a los Estados miembro a mantenerse informados acerca de sus resultados anuales en materia de ciberseguridad, las áreas de mejora y la situación concerniente a las amenazas cibernéticas.
– Documentación de todos los proveedores de servicios digitales transfronterizos: crear y mantener un informe de todas las entidades que prestan servicios transfronterizos, como la computación en la nube, los servicios del centro de datos, los servicios de DNS, los registros de nombres de dominio de nivel superior (TLD por sus siglas en inglés), los registros de nombres de dominio, etc.
– Permitir las evaluaciones entre homólogos de los Estados miembro para ayudar a dichos Estados a mantener al día sus ciberestrategias.
¿Qué repercusión tiene sobre las empresas?
Quedan menos de 600 días para que la NIS2 se transponga al ordenamiento jurídico nacional. Aproveche este periodo para ampliar sus conocimientos sobre la normativa en materia de ciberseguridad e iniciar el proceso de implantación.
Si su empresa es considerada una entidad esencial o importante, esta normativa le exige la aplicación de las nuevas políticas en materia de análisis de riesgos y seguridad de la información, de la continuidad de la actividad empresarial, de la seguridad de la cadena de distribución, de la gestión de incidentes y de las prácticas de desarrollo de sistemas de información, tales como la revelación de vulnerabilidades, la criptografía, el cifrado o la autenticación de doble factor. Además, también se le puede exigir que adopte el uso de determinados procesos, servicios, productos y bienes de las tecnologías de la información y la comunicación (TIC) que se hayan incorporado en virtud de la ley en materia de ciberseguridad prevista en la ENISA. Stefanie recomienda buscar soluciones y solicitar el asesoramiento de expertos a fin de adaptarse al cumplimiento de la NIS2:
| Entidades esenciales | Entidades importantes |
|---|---|
| Grandes operadores de once sectores esenciales y casos especiales. | Grandes operadores de siete sectores importantes y operadores de mediano tamaño |
| Gran umbral con: más de 250 empleados volumen de negocios superior a 50 millones de euros un balance superior a 43 millones de euros | Umbral medio con: 50 a 250 empleados un volumen de negocios de entre 10 y 50 millones de euros un balance inferior a 43 millones de euros |
| Energía (electricidad, petróleo, gas, combustible para calefacción, hidrógeno) | Sanidad (servicios públicos, laboratorios, I+D, fármacos) | Transporte (aéreo, ferroviario, fluvial, vial) | Entidades bancarias | Mercados financieros | Suministradores y compañías de agua potable | Proveedores y compañías de aguas residuales | Digital (proveedor de: puntos de intercambio de internet (IXP por sus siglas en inglés), proveedores de servicios de DNS, registros de nombres de dominio de nivel superior (TLD), servicios del centro de datos, proveedores de servicios de computación en la nube, redes de distribución de contenido, servicios de confianza) | Gestión de servicios TIC |Espacio | Administración pública | Servicios postales | Servicios de mensajería | Gestión de residuos | Sustancias químicas | Alimentos | Industria (tecnología e ingeniería) | Servicios digitales (mercados en línea, motores de búsqueda en línea, redes sociales) | Investigación |
| Las entidades esenciales se someterán a supervisión de manera proactiva. | Las entidades importantes quedarán sujetas a un régimen supervisor pasivo. |
| En el caso de las entidades esenciales, las multas administrativas pueden ser de hasta 10 millones de euros o de hasta el 2 % del volumen de negocios total anual a nivel mundial de la empresa a la que pertenezca la entidad durante el ejercicio anterior, lo que es definitivamente una cifra mayor. | En el caso de las entidades importantes, la directiva NIS2 permite la aplicación de multas administrativas de hasta 7 millones de euros o de hasta el 1,4 % del volumen de negocios total anual a nivel mundial de la empresa a la que pertenezca la entidad durante el ejercicio anterior, lo que es definitivamente una cifra mayor |
| En caso de incumplimiento, las sanciones son significativamente más elevadas para las entidades esenciales. | En caso de incumplimiento, las entidades importantes se enfrentarán a sanciones más leves que las entidades esenciales. |
«Si no es experto en ciberseguridad, es hora de buscar socios que proporcionen asistencia con la implantación de los requisitos. No hablamos únicamente de socios asesores o de socios en asuntos jurídicos, sino también de socios en soluciones».
Como ya se habrá imaginado, la NIS2 no se refiere solo a la fase de preparación, sino también a la fase de respuesta ante crisis. A estos efectos, es fundamental que las empresas y las entidades esenciales cumplan las obligaciones relativas a la notificación de incidentes cuando se hayan enfrentado a una amenaza o a un ataque. Si las entidades pueden informar acerca de los incidentes a tiempo y con mayor precisión, es más probable que contribuyan al aprendizaje y crecimiento general. El proceso de notificación de incidentes incluye la emisión de una alerta temprana dentro de las primeras 24 horas desde que se tiene conocimiento del incidente o de la posibilidad de que se produzca. El siguiente aspecto es la notificación del incidente en un plazo de 72 horas desde que se haya tenido conocimiento del mismo. La notificación apoya junto a una evaluación inicial de la gravedad del incidente, el impacto y los indicadores de compromiso. Por último, en el plazo de un mes tras la notificación del incidente, se elabora un informe final en el que se describe detalladamente el incidente junto con el análisis de las causas subyacentes.
¿Cómo pueden las empresas adaptarse al cumplimiento de la NIS2 de aquí a 2024?
Inspecciones in situ, auditorías de seguridad, rastreos, acceso a las medidas de ciberseguridad que hayan adoptado las empresas o entidades, y constancia de que dichas empresas o entidades hayan implantado las medidas necesarias en materia de ciberseguridad, son algunos de los aspectos de los que las empresas pueden esperar más novedades como parte de la NIS2.
Stefanie formula los seis pasos clave que toda compañía debe seguir para llevar a cabo la implantación de la NIS2:
1. Consulte cómo le afecta la NIS2 o si puede ampararse en ella.
2. Identifique los socios que puedan ayudarle en la adaptación al cumplimiento.
3. Lleve a cabo un análisis de deficiencias conjuntamente con expertos en la materia.
4. Fomente la toma de conciencia entre los consejeros y elabore un plan para implantar los requisitos que faltan.
5. Asigne presupuestos concretos y, de ser posible, un equipo al proyecto.
6. Aplique ya las medidas, estrategias y rutinas que faltan para cumplir con la directiva cuando llegue 2024.
Las empresas deberían buscar ya formas de aplicar estos cambios para adaptarse al cumplimiento de la directiva antes del 17 de octubre de 2024. La NIS2 también conlleva fuertes sanciones por incumplimiento de las políticas (multas de 10 millones de euros o el 2 % del volumen de negocios mundial, la cifra que sea mayor para las entidades esenciales, y de 7 millones de euros o el 1,4 % del volumen de negocios mundial, la cifra que sea mayor para las entidades importantes).
Contribución de expertos de F24
F24 es el principal proveedor europeo de software como servicio (SaaS) para la resiliencia empresarial. Más de 5.500 clientes de todo el mundo confían en las soluciones digitales de F24, que apoyan a empresas y organizaciones en todos los ámbitos de la resiliencia. Las soluciones cubren la mensajería empresarial y la notificación de servicios, la notificación masiva, la gestión de incidentes y crisis, así como gobernanza, riesgos y cumplimiento (GRC).