- La Directiva NIS2, publicada el 27 de diciembre de 2022, entró en vigor el 16 de enero de 2023.
- Los Estados miembros de la UE tienen hasta el 17 de octubre de 2024 para adoptar y publicar las disposiciones necesarias para cumplir con la Directiva.
- En comparación con la directiva actual, NIS2 se aplica a más organizaciones, reduce los plazos de comunicación y aumenta las sanciones
El Consejo Europeo adoptó formalmente NIS2, reemplazando la directiva actual sobre seguridad de redes y sistemas de información (NIS).
El director global de Servicios de Cumplimiento Gubernamental de NCC Group, Mick Flitcroft, explica lo que esta nueva directiva puede significar para los países de la UE en la práctica. Y lo hace teniendo en cuenta que, según el equipo Global Threat Intelligence de NCC Group el 35 % de los ataques de todo el mundo en 2022 se llevaron a cabo en Europa.
¿Qué sectores están regulados en NIS2?
En primer lugar hay que destacar que los proveedores de servicios gestionados, como es el caso de los proveedores de outsourcing de IT, entran a formar parte del ámbito de aplicación del nuevo reglamento.
Además, la directiva NIS2 tiene un mayor alcance, llegando a organizaciones dedicadas a sectores considerados “esenciales” como son el espacio, las aguas residuales, las administraciones públicas (con algunas excepciones), los proveedores de servicios para centros de datos, los proveedores de servicios de confianza (Trust Service Providers), las redes de distribución de contenido (Content Delivery Network) y las redes y servicios públicos de comunicaciones electrónicas.
UN ALCANCE MÁS AMPLIO
Otros sectores críticos, como los servicios postales o los productos clave en Química e Industria también tendrán que cumplir con las regulaciones (pasan a ser entidades reconocidas como “importantes”), aunque estan sujetas a una supervisión regulatoria menor que las entidades clasificadas como “esenciales”.
No en vano, según la Oficina de Coordinación de Ciberseguridad de la Secretaría de Estado de Seguridad –perteneciente al Ministerio del Interior del gobierno español–, en 2022 se produjeron 15.507 ciberincidentes en sectores estratégicos, lo que supuso un 43 % más que en 2021. De todos ellos, 9.815 tuvieron un nivel de peligrosidad alto o muy alto.
Por otro lado, mientras que en la anterior directiva NIS, los Estados miembros eran responsables de determinar qué entidades debían cumplir los criterios para ser calificadas como operadoras de servicios “esenciales”, la nueva directiva NIS2 introduce una regla que delimita el tamaño. Esto significa que todas las entidades medianas y grandes que operen dentro de estos sectores o presten servicios cubiertos por la directiva entran dentro de su ámbito de aplicación. En algunos de los sectores afectados, como es el caso de las comunicaciones electrónicas públicas, la directiva se aplicará independientemente del tamaño. Asimismo, los Estados miembros de la UE también tendrán la facultad de designar a algunas organizaciones como entidades “esenciales” o “importantes”, dependiendo de su criticidad.
Por norma general, cualquier entidad con más de 250 empleados y una facturación anual que supere los 50 millones de euros –o con un balance anual superior a 43 millones de euros– estará obligada a cumplir los requisitos de NIS2.
¿Qué requisitos adicionales tendrán que cumplir las organizaciones?
A diferencia de la anterior directiva NIS, NIS2 busca armonizar los requisitos entre los Estados miembros mediante el establecimiento de reglas mínimas para los marcos regulatorios y de medidas mínimas de ciberseguridad específicas y más robustas.
Entre ellas se incluyen las siguientes:
- Análisis de riesgos y políticas de seguridad de los sistemas de información.
- Gestión de incidentes.
- Continuidad de negocio y gestión de crisis.
- Seguridad en la cadena de suministro.
- Adquisición, desarrollo y mantenimiento de redes y sistemas seguros, incluidas la gestión y comunicación de vulnerabilidades.
- Políticas y procedimientos para evaluar la eficacia de las medidas.
- Prácticas básicas de higiene informática y formación en ciberseguridad.
- Políticas y procedimientos relacionados con el uso de criptografía/cifrado.
- Políticas de control y gestión de accesos de los empleados..
- Uso de autenticación multifactor (MFA), seguridad de las comunicaciones y seguridad de las comunicaciones de emergencia.
Cabe señalar que las entidades reguladas también deben incluir la cadena de suministro en sus medidas de seguridad. Así, tienen que considerar las posibles vulnerabilidades de los proveedores y las prácticas de ciberseguridad, y se les recomienda incorporar medidas de ciberseguridad en los acuerdos contractuales con sus cadenas de suministro directas.
SE ACORTAN LOS PLAZOS DE NOTIFICACIÓN
¿Qué ocurre con la comunicación de incidentes?
Tanto España como todos los países miembros de la UE actualizarán sus requisitos para que las organizaciones notifiquen un mayor número de incidentes.
En este sentido, las organizaciones deben notificar “cualquier incidente que tenga un impacto significativo en la prestación de sus servicios” a la autoridad competente, al CSIRT (equipo de respuesta a incidentes de seguridad informática) correspondiente y, en algunos casos, a sus clientes.
Los incidentes se considerarán “significativos” si han causado o pueden causar graves interrupciones operativas del servicio o pérdidas financieras; o si han afectado o son capaces de causar pérdidas considerables a otros.
Con NIS2, las notificaciones se aceleran. Las organizaciones deben realizar una “alerta temprana” antes de que pasen 24 horas desde la detección. Después, en menos de 72 horas se hará una “notificación de incidente” completa. Por último, deberán realizar un “informe final” en el plazo de un mes tras la notificación del incidente.
LAS SANCIONES POR INCUMPLIMIENTO SE ENDURECEN
¿Cuáles son las consecuencias del incumplimiento de NIS2?
En la UE, las entidades “esenciales” se enfrentan a multas de hasta 10 millones de euros o el 2 % de su facturación total global en caso de que incumplan las directrices de la normativa.
¿Qué deben hacer las organizaciones para prepararse?
Las organizaciones han de comprender cómo les afectará el nuevo reglamento: es importante que entiendan si han de cumplir las regulaciones de la UE y su evolución; así como conocer si son consideradas “esenciales” o “importantes”, ya que las implicaciones difieren según el tipo de organización.
Por ello, conviene adoptar un enfoque proactivo de la seguridad: las organizaciones deben llevar a cabo un ejercicio exhaustivo de análisis de brechas de seguridad y vulnerabilidades para asegurarse de que cuentan con los planes adecuados para abordar cualquier incidencia y seguir cumpliendo con la normativa.
De cara a tener una visibilidad completa de los sistemas resulta clave comprender las implicaciones de seguridad para todos los activos del sistema, incluidos los proporcionados o administrados por otras entidades y proveedores.
Finalmente, es necesario manejar de un modo correcto los incidentes. Las organizaciones tienen que asegurarse de que cuentan con los materiales, procesos y procedimientos adecuados en caso de que se produzca un incidente de seguridad.
Plazo de adopción
Desde la publicación de la directiva NIS2 de la UE, los Estados miembros tienen hasta octubre de 2024 para incorporar las disposiciones en su legislación nacional.
Contacta con nuestros expertos en NIS/NIS2
Si necesitas ayuda para familiarizarte con la nueva regulación y cómo prepararte, habla hoy con nuestro equipo.