NIS

La directiva NIS 2 es la estrella de los debates cibernéticos en estos momentos… pero ¿conoces su predecesora? Porque si hay una NIS 2, es porque hubo una NIS en primer lugar… Y para entender la nueva directiva, hay que conocer la anterior. He aquí un resumen de la NIS, sus objetivos y requisitos.

Partage

Directiva NIS: ¿de qué se trata?

La Directiva NIS (Network and Information Security) es una pieza clave de la legislación europea en materia de ciberseguridad.
Adoptada en julio de 2016 y transpuesta en los diferentes Estados miembros en 2018, la NIS tiene como objetivo fortalecer el nivel general de seguridad de las redes y sistemas de información en toda la Unión Europea.
Antes de su adopción, los Estados miembros de la UE tenían niveles muy desiguales en cuanto a ciberseguridad. Como resultado, había brechas y vulnerabilidades que podían afectar a todo el mercado único europeo. La Directiva NIS fue diseñada para abordar estos desafíos, estableciendo un marco común. El objetivo final es garantizar un alto nivel de seguridad en las redes y los sistemas de información en toda la UE.

¿Cuáles son los objetivos de la Directiva NIS?
  1. Mejorar la ciberseguridad nacional: Con NIS, la UE exige a los Estados miembros que adopten estrategias nacionales de ciberseguridad y que designen autoridades competentes para supervisar la implementación de la directiva.
  2. Fortalecer la cooperación entre los Estados miembros: NIS busca facilitar el intercambio de información y fomentar la colaboración.
  3. Aumentar la resiliencia de los Operadores de Servicios Esenciales (OSE) y los Proveedores de Servicios Digitales (PSD), imponiendo obligaciones de seguridad y notificación de incidentes a las empresas que operan en sectores críticos como la energía, el transporte, la salud y las infraestructuras digitales.
¿A quién se aplica la Directiva NIS?

La NIS se aplica, por un lado, a los Operadores de Servicios Esenciales (OSE), es decir, entidades que proporcionan servicios críticos para la sociedad y la economía, tales como:

  • Redes energéticas
  • Sistemas de transporte
  • Infraestructuras bancarias
  • Establecimientos de salud

Por otro lado, la NIS también afecta a los Proveedores de Servicios Digitales (PSD), que incluyen:

  • Mercados en línea
  • Motores de búsqueda
  • Servicios en la nube

¿Cuáles son los requisitos de la Directiva NIS?

Obligaciones de los Estados miembros
  • Desarrollar una estrategia nacional que detalle los objetivos y medidas aplicables en ciberseguridad.
  • Designar autoridades competentes para supervisar la implementación de la directiva y uno o más puntos de contacto únicos para facilitar la comunicación y coordinación.
  • Establecer equipos CSIRT (Equipos de Respuesta a Incidentes de Seguridad Informática), destinados a gestionar y responder a los incidentes de ciberseguridad.
Obligaciones de los OSE y PSD
  • Implementar las medidas técnicas y organizativas de seguridad adecuadas para gestionar los riesgos cibernéticos.
  • Notificar a las autoridades competentes los incidentes que tengan un impacto significativo en la continuidad de los servicios que prestan.
¿Cuál es el proceso de notificación de incidentes?
  1. Detección del incidente de seguridad.
  2. Evaluación del impacto del incidente en la continuidad de los servicios (para determinar si cumple con el umbral de notificación).
  3. Notificación inicial a las autoridades competentes, acompañada de la información preliminar sobre el incidente.
  4. Notificación de seguimiento (en caso de que se requiera información adicional a medida que se analiza y gestiona el incidente).
¿Qué consecuencias hay en caso de incumplimiento?

Las empresas que no cumplan con los requisitos de la Directiva NIS pueden enfrentarse a varias sanciones, que varían según el Estado miembro. Estas sanciones pueden incluir:

  • Multas financieras
  • Órdenes de cumplimiento
  • Suspensión de actividades (en los casos más graves)

Si las sanciones son especialmente severas, es principalmente para incentivar a las empresas a tomar las medidas de seguridad necesarias para proteger sus redes y sistemas de información.

NIS 2: la sucesora

En diciembre de 2020, la Comisión Europea propuso una revisión de la Directiva NIS, conocida como NIS 2. El objetivo de esta nueva versión, que será aplicable en Francia a partir de octubre de 2024, es fortalecer y ampliar el alcance de la directiva inicial, introduciendo requisitos de seguridad más estrictos y cubriendo un mayor número de sectores críticos.

  • Ampliación del ámbito de aplicación: más empresas y sectores están cubiertos, incluidas las administraciones públicas y los proveedores de servicios digitales adicionales.
  • Obligaciones de seguridad reforzadas: las empresas deben adoptar medidas más rigurosas de gestión de riesgos y seguir estándares de seguridad más altos.
  • Sanciones más severas: se implementan mecanismos de sanción más estrictos para garantizar un mejor cumplimiento.

En resumen

Al igual que su sucesora, la NIS 2, la Directiva NIS representa un marco esencial para mejorar la ciberseguridad dentro de la Unión Europea. Al imponer obligaciones claras a los Estados miembros, a los OSE y a los PSD, crea un entorno más seguro para las redes y los sistemas de información.
Con la evolución hacia NIS 2, la UE ha mostrado un compromiso continuo en reforzar la resiliencia de los sistemas de información europeos ante amenazas cada vez más sofisticadas.
¡Qué bien que el framework NIS ya está integrado en Tenacy (y NIS 2 lo estará tan pronto como se transponga)!