A Fondo
NIS2: todo lo que necesitas saber sobre esta directiva
El cumplimiento de las normativas vigentes en el ámbito de la ciberseguridad resulta complejo para las empresas, sobre todo si tienen que hacerlo en un marco en el que hay distintas directivas y normas a tener en cuenta. Para facilitarles la tarea, y unificar las normas en la UE, se aprobó a finales de 2022 la directiva NIS2.
Entró en vigor en enero de 2023, y todos los estados miembros de la Unión Europea tienen que tenerla traspuesta y adaptada a la legislación de cada país antes del 17 de octubre de 2024. Por tanto, quedan muy pocos días para que las empresas y sectores a los que afecta adapten sus sistemas y protocolos para poder cumplirla.
La misión de la directiva NIS2 es ofrecer medidas legales unificadas para dar un impulso al nivel de ciberseguridad de todo tipo de empresas y organizaciones. También para mejorar la resiliencias de las infraestructuras consideradas críticas, y la de los servicios digitales, en la región.
Eso sí, para cumplirla es necesario que las organizaciones y empresas que operan y tienen su sede en la UE, así como los países miembros, tomen medidas para cumplir las obligaciones de supervisión, notificación y ejecución en los ámbitos de aplicación que les afecta, así como otras relacionadas con la gestión de riesgos y el intercambio de información de ciberseguridad.
¿Qué es la Directiva NIS2?
La Directiva NIS2 es un conjunto de leyes y normas de ciberseguridad que se aplicará en toda la Unión Europea. Se trata de una actualización de la directiva NIS y tiene como objetivo armonizar el nivel de seguridad en los países miembros de la UE para que sea el mismo en todos ellos.
Su principal objetivo es potenciar las medidas de seguridad online en las entidades consideradas como esenciales e importantes, dentro de diversos sectores críticos. Entre ellos, el transporte, el sanitario, la administración pública, la energía, la banca o el retail. La Directiva NIS2 también se ocupa de mejorar la seguridad de la cadena de suministro, así como la de los proveedores de servicio que provengan de fuera de la Unión Europea.
Sectores afectados y tipos de entidades
La Directiva NIS2 afecta a 18 sectores, que a su vez están catalogados como sectores de alta criticidad y sectores críticos. Los primeros son los siguientes: energía, banca, sanidad, transporte, agua potable, aguas residuales, infraestructuras de mercados financieros, infraestructura digital, gestión de servicios TIC (solo B2B) y espacio.
También la administración central, aunque quedan excluidos del cumplimiento de la NIS2 el poder judicial, los parlamentos y los bancos centrales de cada país miembro de la UE. En cuanto a los sectores críticos, son otros siete: investigación, química, alimentación, fabricación, gestión de residuos, servicios postales y proveedores digitales.
Aparte de esta clasificación, la Directiva NIS2 cataloga a las entidades en dos tipos: esenciales e importantes. Las primeras son las que pertenecen a los sectores que hemos mencionado como de alta criticidad. También, en todos los casos, independientemente de su envergadura, los prestadores de servicios cualificados de servicios de confianza, los registros de nombres de dominio de primer nivel o los proveedores de servicios de DNS.
A este tipo de entidades, de cara a la Directiva NIS2, también pertenecen los proveedores de redes de comunicaciones públicas o las empresas medianas de servicios de comunicaciones para el público, las entidades de las Administraciones Públicas, las entidades críticas que se enmarcan en la Directiva CER (resiliencia de entidades críticas) o cualquier entidad que el estado dictamine que es esencial. También las entidades que, de acuerdo con la directiva NIS, estaban consideradas operadoras de servicios esenciales.
En cuanto a las entidades importantes, son las que pertenecen a sectores considerados como de criticidad elevada, así como a diversos sectores considerados críticos, pero que no pueden considerarse como entidades esenciales.Por ejemplo, los servicios postales y de mensajería, los dedicados a la gestión de residuos, los de proceso y producción de productos. químicos, los de alimentación. También los proveedores digitales en general, como los motores de búsqueda o las redes sociales.
Principales medidas que fija la Directiva NIS2
Entre las principales medidas de ciberseguridad y gestión de riesgos que establece la Directiva NIS2 están el control de accesos, la aplicación de un mínimo de privilegios y una autenticación en varios factores robusta. Además, se pide la puesta en marcha de medidas destinadas a la detección, freno o prevención de la acción de código malicioso y dañino, como sucede con el ransomware y el malware.
Quizá una de las más destacadas es la obligatoriedad que tendrán con esta directiva las empresas y organizaciones de determinados tipos de notificar los incidentes de ciberseguridad que sufran. Los países miembros de la UE deben asegurar que las entidades y organizaciones que consideren como esenciales e importantes notifiquen a las autoridades competentes, o en su defecto a su CSIRT (Equipo de Respuesta ante incidentes de Ciberseguridad, o Computer Security Incident Response Team), los incidentes que sufran y que afecten de manera significativa a la prestación de sus servicios.
Estos impactos se considerarán significativos, y por tanto deben comunicarse, si han ocasionado perturbaciones graves en el funcionamiento de de los servicios prestados, o también si pueden causarlos. Además, también se considerarán significativos los incidentes de seguridad que ocasionen pérdidas económicas en la organización afectada. O los que puedan afectar, o afecten, a otras personas al causar daños materiales o inmateriales de cierta consideración.
Cómo deben realizarse las notificaciones en caso de incidente
Según la directiva NIS2, las notificaciones que deben enviar las entidades afectadas que deben cumplir sus normas deben enviarse en tres etapas. La primera se completa con una notificación inicial, en un plazo máximo de 24 horas desde que la entidad afectada tiene constancia de que ha sufrido un ataque o incidente.
La segunda, o notificación intermedia, es una actualización de la inicial, y se envía 72 horas después de la detección del ataque. Entonces se envía esta notificación, con la actualización sobre su estado, y con una primera exposición de su origen y consecuencias.
En cuanto a la tercera, es la considerada final, y debe enviarse en un plazo máximo de un mes desde la primera notificación del incidente. Esta notificación debe ir acompañada por un informe detallado y final, que exponga detalladamente todos sus detalles: nivel de gravedad, a quién o qué ha impactado, la amenaza que lo ha originado y las medidas aplicadas para paliar sus efectos además de especificar si han terminado ya o se siguen aplicando. En caso de que el ataque tenga repercusiones internacionales, también hay que especificar cuáles son.
En caso de que la comunicación de un ciberincidente no se realice o no se haga debidamente, las organizaciones afectadas pueden ser sancionadas. También si no cumplen con las medidas necesarias para gestionar los riesgos de seguridad online a los que están expuestas.
En el caso de las entidades consideradas esenciales, las sanciones pueden llegar hasta 10 millones de euros o hasta el 2% de sus ingresos anuales globales de su año fiscal anterior. En el caso de las consideradas importantes, pueden ser de hasta 7 millones de euros o un 1,4% de sus ingresos anuales globales según su año fiscal anterior. Pero cada estado puede decidir, hasta ese nivel, qué penalizaciones impone. Cada país debe, eso sí, comunicar a la Comisión Europea qué régimen de sanciones aplicarán por el incumplimiento de la Directiva NIS2.
El Centro Criptológico Nacional resuelve dudas sobre la NIS2
El Centro Criptográfico Nacional (CCN) ha puesto en marcha un servicio para atender las dudas que puedan surgir relacionadas con la transposición de la NIS2 al ordenamiento jurídico de España. Lo ha hecho con el fin de ayudar a las organizaciones que estén implicadas en el cumplimiento de las medidas técnicas, operativas y de organización de la directiva.
Para ello ha habilitado una dirección de email a la que las entidades afectadas por la NIS2 y su cumplimiento pueden enviar sus preguntas: nis2@ccn-cert.cni.es. Sus expertos se encargarán de contestar a las dudas que se planteen sobre su contenido y normas. Además, la entidad cuenta con una página centrada en resolver las dudas más frecuentes sobre esta directiva, con preguntas y respuestas.
-
A FondoHace 2 días
Viaje a los orígenes de Silicon Valley, o cómo todo empezó en el garaje de David Packard
-
A FondoHace 6 días
HP Imagine 2024: el futuro del trabajo pasa por la IA
-
NoticiasHace 6 días
HP Wolf Security halla evidencias del uso de la IA para crear malware
-
A FondoHace 7 días
Las mejores medidas para optimizar la gestión de identidades y accesos en la empresa