CiberseguridadSeguridad

¿Qué es la Directiva NIS2 y para qué sirve?

🕑 8 minutos de lectura

¿Qué es la Directiva NIS2 y para qué sirve?

La seguridad cibernética se ha convertido en una prioridad imperativa para todas las organizaciones. La entrada en vigor de la Directiva NIS2 en enero de 2023 ha marcado un nuevo horizonte en la protección de infraestructuras críticas dentro de la Unión Europea. Este nuevo reglamento no solo eleva la vara de la seguridad, sino que también expande su alcance a una amplia gama de sectores.

La Directiva NIS2 (Directiva (UE) 2022/2555) es una regulación del Parlamento Europeo y del Consejo que busca asegurar un elevado nivel de ciberseguridad en toda la Unión Europea. Se sostiene sobre tres pilares fundamentales: controles de ciberseguridad, gestión de riesgos y gobernanza y cooperación. Desde la implementación de políticas y procedimientos hasta la monitorización continua y gestión de incidentes, NIS2 proporciona un marco integral para salvaguardar las operaciones digitales.

¿Cuándo entra en vigor NIS2?

Entró en vigor en enero de 2023, marcando el comienzo del período de transposición por parte de los Estados miembros. Estos tienen hasta el 17 de octubre de 2024 para incorporarla a su legislación nacional y hasta enero de 2025 para comunicar el régimen sancionador aplicable a la Comisión Europea. Para 2025, se determinarán qué entidades se consideran esenciales e importantes, y en 2027, la Comisión revisará el funcionamiento de la Directiva e informará sobre ella al Parlamento y al Consejo.

¿A quién aplica?

La UE considera que deben cumplir con esta normativa las empresas y organizaciones con más de 50 empleados y una facturación superior a 10 millones de euros La Directiva afecta a entidades esenciales según su infraestructura crítica, diferenciando así sectores de alta criticidad como

  • Energía
  • Banca
  • Financieros
  • Transporte
  • Sector sanitario
  • Infraestructura digital
  • Aguas potables y aguas residuales
  • Gestión de servicios TIC (B2B)
  • También forma parte de este grupo la administración pública, aunque se excluyen el poder judicial, los parlamentos y los bancos centrales.

Por otro lado, también afecta a otros sectores críticos que comprenden:

  • Investigación
  • Química
  • Alimentación
  • Servicios postales
  • Proveedores digitales
  • Gestión de residuos.

Estos sectores, aunque no están marcados como de alta criticidad, también son fundamentales para el sostenimiento y la seguridad de las infraestructuras y servicios esenciales en un contexto nacional y europeo.

¿Qué son las entidades importantes y esenciales?

La Directiva identifica dos tipos de entidades: las «Entidades Esenciales» y las «Entidades Importantes». Las esenciales son aquellas que pertenezcan a los sectores de alta criticidad que superen los límites máximos previstos, así como los prestadores cualificados de servicios de confianza y registros de nombres de dominio de primer nivel y proveedores de servicios de DNS, independientemente de su tamaño. También los proveedores de redes públicas de comunicaciones electrónicas o de servicios de comunicación electrónicos disponibles para el público que sean consideradas medianas empresas, entidades de la Administración pública, cualquier otra entidad perteneciente a otros sectores críticos que el Estado miembro identifique como entidad esencial, las entidades críticas identificadas por la Directiva CER y, si así lo dispone el Estado miembro, las entidades identificadas como operadores de servicios esenciales de conformidad con la anterior Directiva NIS.

Las «Entidades Importantes» son aquellas que, aunque no están en sectores de alta criticidad, son vitales para la economía y la sociedad.

Aspectos destacados de la NIS2

Gobierno y Responsabilidad

La Directiva NIS2 exige que los estados miembros de la Unión Europea aseguren que los órganos de dirección de las organizaciones no solo aprueben, sino que también supervisen la aplicación de las medidas de gestión de riesgos de ciberseguridad. Estos órganos directivos pueden ser responsabilizados por infracciones a lo establecido en el artículo 21 de la Directiva. Es imperativo que los órganos de dirección se mantengan al día en la formación sobre ciberseguridad, transmitiendo este conocimiento a sus empleados.

Requisitos de Seguridad

La Directiva señala en el artículo 21 la obligación de las entidades de implementar un enfoque estratégico y holístico hacia la gestión de riesgos de ciberseguridad. Los puntos clave incluyen:

  • Desarrollo de políticas de seguridad de la información y análisis de riesgos.
  • Implementación de un proceso completo de gestión de incidentes.
  • Aseguramiento de la continuidad operativa y la gestión de copias de seguridad.
  • Fortalecimiento de la seguridad en la cadena de suministros.
  • Gestión de la seguridad en la adquisición, desarrollo y mantenimiento de sistemas.
  • Evaluación de la eficacia de las medidas de gestión de riesgos cibernéticos.
  • Mantenimiento de prácticas básicas de ciberhigiene y formación en ciberseguridad.
  • Uso de la criptografía y el cifrado como medidas de protección.
  • Implementación de políticas de control de acceso y gestión de activos.
  • Adopción de soluciones de autenticación multifactor o continua.

Mecanismos de Intercambio de Información sobre Ciberseguridad

En el artículo 29 se mencionan los mecanismos de intercambio de información y las circunstancias en las que las entidades sometidas a la Directiva deberán realizar dichos intercambios. El principal objetivo es prevenir, detectar o responder ante incidentes, recuperarse de ellos o reducir su repercusión, reforzando así el nivel de ciberseguridad de las entidades.

Notificación de Incidentes

El artículo 23 estipula que los Estados miembro deberán asegurarse de que las entidades esenciales e importantes notifiquen a su CSIRT de referencia o a la autoridad competente cualquier incidente que tenga un impacto significativo en la prestación de sus servicios. El proceso de notificación de incidentes de seguridad se divide en cuatro fases: detección del incidente, notificación inicial, notificación intermedia y notificación final.

Papel de las Autoridades Competentes

Las autoridades competentes juegan un papel crucial en asegurar la ciberseguridad dentro de la Unión Europea, realizando inspecciones minuciosas, auditorías especializadas y supervisión a distancia. Pueden imponer sanciones administrativas a los órganos de dirección y suspender operaciones de una entidad esencial si es necesario.

Régimen Sancionador

Se ha establecido un plazo hasta el 17 de enero de 2025 para que los estados miembros comuniquen a la UE sus respectivos regímenes sancionadores. Las sanciones económicas para las organizaciones que incumplan las normativas establecidas son significativas:

  • Entidades esenciales: hasta 10.000.000 € o el 2 % de la facturación total anual del ejercicio anterior a nivel mundial.
  • Entidades importantes: hasta 7.000.000 € o el 14 % del volumen total anual de negocio del ejercicio anterior a nivel global.

Relación entre NIS2, ISO 27001, DORA y PIC/CER

La Directiva NIS2 se complementa con varios otros marcos y normativas que juntos proporcionan un enfoque integral para la ciberseguridad y la resiliencia operativa. Aquí se detallan algunas de las relaciones clave:

  1. ISO 27001:
    • Gestión de Seguridad de la Información: ISO 27001 es un estándar internacional que especifica los requisitos para establecer, implementar, mantener y mejorar un sistema de gestión de seguridad de la información (SGSI). NIS2 complementa ISO 27001 al proporcionar un marco regulatorio más amplio que incluye la gestión de riesgos y la notificación de incidentes a nivel de la UE.
    • Políticas y Procedimientos: Ambas normativas requieren que las organizaciones desarrollen y mantengan políticas y procedimientos de seguridad de la información, aunque NIS2 tiene un enfoque más específico en ciertos sectores críticos y en la notificación obligatoria de incidentes.
  2. DORA (Digital Operational Resilience Act):
    • Resiliencia Operativa Digital: DORA, que se aplica principalmente a entidades financieras, establece requisitos de resiliencia operativa que son coherentes con las exigencias de NIS2. Ambas normativas buscan asegurar que las entidades puedan resistir y recuperarse de incidentes disruptivos.
    • Evaluación y Pruebas: Tanto DORA como NIS2 enfatizan la importancia de la evaluación continua y las pruebas regulares de los sistemas de seguridad y resiliencia, incluyendo pruebas de penetración y ejercicios de simulación de incidentes.
  3. Directiva CER (Critical Entities Resilience):
    • Protección de Infraestructuras Críticas: La Directiva CER se centra en la resiliencia de las entidades críticas contra una amplia gama de amenazas, incluidas las cibernéticas. NIS2 y CER están alineadas en su objetivo de proteger las infraestructuras críticas, aunque NIS2 tiene un enfoque más centrado en la ciberseguridad.
    • Cooperación y Gobernanza: Ambas directivas destacan la necesidad de cooperación y gobernanza efectiva entre los Estados Miembros y las entidades críticas para mejorar la seguridad y la resiliencia a nivel europeo.

¿Por dónde empezar? Como afronto el cumplimiento de NIS2

GlobalSuite Solutions ofrece una cobertura completa para ayudarte a cumplir con los requisitos de la Directiva NIS2. Nuestras soluciones incluyen:

  • Marco de gestión del riesgo
  • Proceso de gestión, clasificación y notificación de incidentes
  • Programa de resiliencia operativa digital
  • Procedimiento para la realización de pruebas de penetración guiadas por amenazas
  • Sistema que despliegue herramientas, políticas y procedimientos de seguridad TIC
  • Política de continuidad de las actividades y planes de recuperación
  • Sistema para el aprendizaje y evaluación de las vulnerabilidades, incidentes y ciberataques
  • Redacción de políticas y normativas /Análisis y Gestión de Riesgos:  RGPD, ENS, NIS2, ISO 27001/22301, DORA
  • Leyes de Protección de Datos y Relaciones con Organismos Públicos y Supervisores

En GlobalSuite Solutions, estamos preparados para ayudarte a cumplir con la Directiva NIS2 de manera integral. Nuestra suite de herramientas y servicios está diseñada para abordar cada uno de los requisitos de NIS2, desde la gestión de riesgos hasta la notificación de incidentes y la continuidad operativa.  Programa una llamada individual con nuestros expertos para conocer cómo nuestras soluciones pueden adaptarse a las necesidades específicas de tu organización y asegurar el cumplimiento regulatorio de manera eficiente y eficaz. Transformar tu enfoque de ciberseguridad nunca ha sido tan fácil con la ayuda de GlobalSuite Solutions.