La Directiva NIS es el primer texto legislativo europeo dedicado a la ciberseguridad. Ante la sucesión de trastornos en el contexto económico y de seguridad de los Estados miembros de la UE, la Directiva actual evoluciona para hacer frente a estos nuevos retos. ¿Qué implica la reforma de esta nueva versión? ¿Cómo se transpondrá esta directiva a la legislación francesa? ¿Te afectan a ti los requisitos relativos a la seguridad de las redes y los sistemas de información? En este artículo, echamos un vistazo a los cambios que se avecinan.
LA DIRECTIVA NIS: UN RECORDATORIO DE LA PRIMERA LEY EUROPEA DE SEGURIDAD CIBERNÉTICA
La Directiva de Seguridad de las Redes y de la Información (SRI) es una directiva sobre la seguridad de las redes y los sistemas de información. Adoptada en 2016 por el Parlamento Europeo, esta directiva pretende elevar el nivel de ciberseguridad de las organizaciones de carácter crítico, cuya interrupción tendría un impacto significativo en el funcionamiento del país y de sus ciudadanos. Concebida como un escudo legislativo, este texto pretende aumentar la colaboración y el intercambio de información entre los Estados miembros de la UE gracias al CERT. Todo ello en el marco de la construcción de una Europa fuerte frente al creciente número de ciberataques.
Para su aplicación en cada Estado miembro, esta directiva se transpone a nivel nacional. Se introduce el concepto de Operadores de Servicios Esenciales (OSE), que permite a cada país elaborar una lista de sectores críticos. Entre las empresas afectadas figuran las de los sectores de la energía, los transportes, la banca, los seguros, la alimentación, el agua, la sanidad, la administración pública, etc. En esta primera versión, las empresas catalogadas como OEN y los proveedores de servicios digitales (PSD) están sujetos a estrictos requisitos de seguridad de las redes y los sistemas de información (SSI).
LA NECESIDAD DE AVANZAR HACIA UNA DIRECTIVA ADAPTADA A LOS RETOS ACTUALES
Pero los retos a los que se enfrentan hoy nuestras organizaciones no son los mismos que en 2016. La proliferación de las ciberamenazas y la profesionalización de los grupos de atacantes, el aumento de las tensiones sociales (crisis energética, cambio climático, guerra a las puertas de Europa, etc.), el incremento de la digitalización en todos los sectores empresariales, etc. Ante este nuevo contexto de seguridad, Europa necesitaba revisar esta directiva para reforzar su nivel de protección cibernética.
Apoyada durante la Presidencia francesa de la Unión Europea (FPEU), la revisión de la Directiva SRI fue objeto de un acuerdo político entre la Comisión, el Parlamento y el Consejo Europeo en mayo de 2022. El objetivo de la Directiva NIS 2, al igual que en su versión inicial, es elevar el nivel de ciberseguridad de las organizaciones europeas, armonizando al mismo tiempo las normas y obligaciones entre los actores, sea cual sea el tamaño de la empresa.
PRINCIPALES CAMBIOS INTRODUCIDOS POR LA DIRECTIVA NIS 2
Aunque la nueva versión de la directiva aún no ha sido adoptada, ya está suscitando muchas preguntas. ¿A quién afectará esta nueva directiva? ¿Qué cambios se esperan? ¿Qué medidas puedes tomar en previsión? ¿Cuáles son los riesgos de incumplimiento? Aquí tienes una respuesta detallada en 4 puntos.
Un abanico más amplio de organizaciones interesadas
Además de los sectores descritos anteriormente en este artículo, la lista se ha ampliado de 19 a 35 sectores afectados por la Directiva NIS 2. Los servicios postales, el sector agroalimentario, la producción y distribución de productos químicos y la gestión de residuos se han añadido a la lista de sectores afectados. Las autoridades locales y regionales también se verán afectadas por la revisión de esta directiva. También se tendrán en cuenta otros criterios, como el tamaño y el volumen de negocios de las empresas. La nueva directiva se aplicará a las empresas con más de 50 empleados y un volumen de negocios superior a un millón de euros.
Guillaume Poupard, Director General de la ANSSI, estima que el número de actores implicados se multiplicará por diez. En su discurso de apertura de la conferencia Assises de la Sécurité, que se celebró en Mónaco en octubre de 2022, insistió en la necesidad de ” cambiar de escala para elevar colectivamente el nivel de ciberseguridad “, y citó como ejemplo la directiva NIS 2. Por su parte, Pierre Dartout, Secretario de Estado del Principado de Mónaco, reiteró “la importancia de exigir mayores niveles de ciberseguridad. Los grupos de ciberdelincuentes atacan a las empresas intermediarias que no están bien armadas, así como a los servicios esenciales. Tenemos que concienciar, ayudar a proteger los sistemas de información y mantener infraestructuras de alto rendimiento a largo plazo. “
Los subcontratistas, proveedores y prestadores de servicios que trabajen para una infraestructura de las enumeradas anteriormente deberán cumplir los requisitos de la versión NIS 2. Los actores de la cadena de suministro son un punto de entrada privilegiado para los ciberatacantes. Por ejemplo, Solarwinds en 2020 y Codecov en abril de 2021, Kaseya en julio de 2021. Estos ataques, que afectaron a los clientes de estos editores, demuestran que la cadena de suministro de software se ha convertido en un eslabón débil en la cadena de ciberseguridad del cliente final.
En los últimos meses, el número de ataques a la cadena de suministro ha aumentado y resulta inevitable exigir el mismo nivel de ciberseguridad para todos. La directiva NIS 2 debería corregir este descuido.
La creación de dos tipos de actores: entidad esencial y entidad importante
La directiva NIS dio lugar a la creación del estatuto de OSE, concebido como una ampliación del de OIV (Opérateurs d’Importance Vitale – Operadores de Importancia Vital) establecido en la Ley de Planificación Militar de 2013. Con la próxima adopción de la directiva NIS 2, este estatuto será sustituido por las denominadas entidades esenciales (EE) y entidades importantes (EI). La distinción se hará en función del grado de criticidad en caso de cierre, según el sector de que se trate y el tamaño de la empresa. Por el momento, la categorización se basará en la autodesignación de la propia empresa.
¿A qué se arriesga una empresa si no cumple los requisitos establecidos en esta directiva europea? A este respecto, la directiva prevé multas de entre el 1,4% y el 2% del volumen de negocios de la empresa. Pero eso no es todo: la Comisión Europea también ha indicado que quiere responsabilizar a los directivos. Razón de más para ponerse manos a la obra.
En conclusión, esta nueva versión pretende responder a los numerosos ciberataques que han tenido como objetivo las cadenas de subcontratación. Con la ampliación de los sectores y organizaciones afectados y el aumento de los requisitos de seguridad de los sistemas de información, debería lograrse una armonización del nivel global de ciberseguridad. El calendario anunciado por la Agencia Nacional Francesa de Seguridad de los Sistemas de Información (ANSSI) prevé que la directiva esté validada a finales de 2022. A continuación, la directiva se transpondrá a la legislación francesa (así como en cada Estado miembro), con lo que será aplicable en el primer semestre de 2024. Ahora sólo queda seguir la evolución y descifrar los anuncios para traducirlos en exigencias reales.