La Directiva Europea NIS 2 entra en vigor en 2024 con el objetivo de dar las claves para impulsar la ciberseguridad y la resiliencia en todo el territorio europeo a través de la legislación y la cooperación entre estados.

Antecedentes: la Directiva NIS 1

Hace ya más de una década, la Unión Europea fue consciente de la necesidad de elaborar un marco legal común sobre Ciberseguridad para establecer una estrategia compartida por los Estados miembros contra la ciberdelincuencia. Nació entonces la NIS 1, el primer marco legal de Ciberseguridad de la UE.

La NIS 1 buscaba establecer los requisitos mínimos comunes en materia de desarrollo de capacidades y planificación, intercambio de información, cooperación y requisitos comunes de seguridad, para eliminar la desigual ciberprotección entre Estados miembros.

Sin embargo, pronto devino insuficiente para abarcar la creciente complejidad del cibercrimen debido a varios factores confluyentes:

  • Alcance limitado: Dejó fuera a servicios esenciales y tipos de empresas cada vez más vulnerables a ciberataques.
  • Falta de armonización: No logró unificar los enfoques de ciberseguridad entre los Estados miembros.
  • Amenazas emergentes: No tuvo capacidad para abordar con eficacia ciberamenazas sofisticadas, como el ransomware, los ataques de denegación de servicio distribuido (DDoS) o el robo de datos a gran escala.

Estas deficiencias evidenciaron la necesidad de actualizar el marco legal para abordar los desafíos actuales en ciberseguridad. Como resultado, la Unión Europea emprendió el camino de redactar la Directiva NIS 2, una nueva directiva que amplía y mejora los aspectos clave de su predecesora.

Objetivos de la NIS 2

La NIS 2 busca abordar las deficiencias de la NIS 1 al ampliar su alcance, promover la armonización de enfoques de ciberseguridad entre los Estados miembros y abordar las amenazas emergentes de manera más efectiva. Esta actualización refleja el reconocimiento de la evolución rápida de la tecnología y las ciberamenazas, y la necesidad de adaptar el marco legal para enfrentar estos desafíos de manera más eficaz.

Por ello, su objetivo principal es mejorar la ciberseguridad en toda la Unión Europea mediante la implementación de normas comunes y la promoción de la cooperación entre los Estados miembros.

Para lograrlo, la NIS 2 propone:

  • Garantizar un elevado nivel común de ciberseguridad en toda la Unión Europea.
  • Eliminar las divergencias entre los Estados miembros en términos de ciberseguridad.
  • Definir normas mínimas para el funcionamiento de un marco regulatorio coordinado.
  • Establecer mecanismos para la cooperación efectiva entre las autoridades competentes de cada Estado miembro.
  • Actualizar la lista de sectores y actividades sujetos a obligaciones de ciberseguridad.
  • Proporcionar vías de recurso y medidas de ejecución eficaces para garantizar el cumplimiento de dichas obligaciones.

Empresas y sectores obligados

La Directiva NIS 2 es de obligatorio cumplimiento para las empresas de 18 sectores que superen los niveles previstos de los sectores:

  • Sectores de alta criticidad. Once sectores considerados esenciales para el funcionamiento de la sociedad: energía, banca, mercados financieros, sector sanitario, transporte, infraestructura digital, aguas potables, aguas residuales, administración pública (exceptuando poder judicial, parlamentos y bancos centrales), gestión de servicios TIC B2B y espacio.
  • Sectores críticos: Investigación, industria química, alimentación, servicios postales, proveedores digitales, fabricación y gestión de residuos.

Esos niveles previstos son tener más de 250 empleados y un volumen de facturación anual de 50 millones de euros en adelante.

También distingue entre entidades esenciales y entidades importantes. Las primeras deberán cumplir con los requisitos de supervisión regulada. Las segundas estarán sujetas a supervisión ex-post, lo que significa que se tomarán medidas cuando las autoridades tengan o reciban evidencias de incumplimiento.

Las 5 buenas prácticas de una ciberseguridad resiliente

  1. Evaluación continua de riesgos y vulnerabilidades: Implica desarrollar una estrategia corporativa de Ciberinteligencia para identificar y monitorizar las amenazas potenciales, evaluar su impacto y probabilidad de ocurrencia y analizar las debilidades en Ciberseguridad. Dentro de este principio, la Directiva establece la obligatoriedad de incluir en esta evaluación continua a la cadena de valor.
  2. Mitigación proactiva de riesgos y vulnerabilidades detectados: Enfocada en prevenir y reducir el impacto de posibles ciberataques, en lugar de simplemente responder a ellos después de que ocurran. Una vez detectados los riesgos y vulnerabilidades a través de la evaluación continua, deben adoptarse medidas de seguridad acordes a los niveles de riesgo identificados.
  3. Gestión de crisis y continuidad de negocio: Las organizaciones están obligadas a elaborar planes y procedimientos de respuesta a incidentes bien definidos y a tenerlos testados y actualizados. Esto asegura que, en caso de un ciberataque o incidente de seguridad, exista una respuesta rápida y coordinada para mitigar el impacto y restaurar la operatividad normal del negocio lo antes posible.
  4. Comunicación rápida de riesgos e incidentes: Las entidades están obligadas a notificar a las autoridades pertinentes cualquier incidente significativo:
    – Notificación inicial – Alerta temprana: plazo de 24.
    – Notificación intermedia – Actualización: pasadas 72 horas.
    – Notificación final – Presentación informe: plazo máximo un mes.
  5. Ciberhigiene y formación: La Directiva NIS 2 pone el foco en aumentar la concienciación y las capacidades de los ciudadanos y las organizaciones de la Unión para protegerse contra las amenazas cibernéticas y contribuir a un entorno digital más seguro y resiliente.

Claves de la NIS 2

Las claves de la NIS 2 se centran en aumentar la concienciación y las capacidades de los ciudadanos y las organizaciones de la Unión:

  • Impulso de la proactividad: La NIS 2 enfoca la ciberseguridad en el control y la prevención de las amenazas y los riesgos, conminando a adelantarse a los ciberataques como medida principal para evitar sus consecuencias. Implica la implementación de medidas proactivas, como la monitorización constante de la red, la identificación temprana de posibles vulnerabilidades y la adopción de estrategias de respuesta rápida ante incidentes.
  • Nuevas amenazas y tecnologías avanzadas: La Directiva tiene en cuenta las amenazas emergentes y las tecnologías en evolución, como la inteligencia artificial y el Internet de las cosas (IoT), y busca abordar los desafíos que presentan para la ciberseguridad. Implica estar al tanto de las últimas tendencias en ciberseguridad y adaptar continuamente tus estrategias y controles de seguridad para hacer frente a las nuevas amenazas y tecnologías.
  • Abordaje de los riesgos de terceros: La NIS 2 integra la obligación de controlar los riesgos de la cadena de suministro como uno de los ejes de la eficacia de cualquier estrategia de ciberseguridad. Implica evaluar y gestionar los riesgos asociados con los proveedores, socios comerciales y otros terceros que tienen acceso a los sistemas o datos de la organización, asegurando que cumplen con los estándares de seguridad requeridos.
  • Figura del CISO: La NIS 2 establece la obligación de las empresas a las que va dirigida de contar con un Responsable de Seguridad, una persona debidamente cualificada y con dedicación exclusiva que gestione la Ciberseguridad corporativa, forme parte de la dirección y adopte el papel de líder en las decisiones técnicas y de negocio.
  • Responsabilidades y sanciones: La Directiva NIS 2 introduce la responsabilidad del órgano de dirección en la aprobación y supervisión de la estrategia de ciberseguridad, la gestión de los riesgos y el cumplimiento de la norma. Podrán existir sanciones que vayan desde la inhabilitación hasta las administrativas. Además, la NIS 2 incrementa las sanciones para las organizaciones infractoras.

 

Así pues, eliminar las divergencias entre los Estados miembros en términos de ciberseguridad, establecer normas mínimas para el funcionamiento de un marco regulatorio coordinado, y promover la cooperación efectiva entre las autoridades competentes de cada Estado miembro, se espera que la Directiva NIS 2 mejore la ciber-resiliencia en toda la Unión Europea. Esto a su vez contribuirá a la protección de los sistemas de redes y de información, así como a la prevención de ciberataques, lo que tendrá un impacto positivo en la seguridad y estabilidad de la economía de la Unión Europea.

Si necesitas ampliar la información sobre el contenido de la NIS 2, las claves de la normativa, su alcance y cumplimiento, puedes descargarte el whitepaper Objetivo resiliencia: Buenas prácticas, claves y cumplimiento de la NIS 2 que hemos redactado para ello.