NIS 2

La Directiva NIS 2 (Network and Information Security 2) ha estado en boca de todos desde su publicación en el Diario Oficial de la UE el 27 de diciembre de 2022. Y con razón: representa un hito importante en la evolución de la normativa europea sobre ciberseguridad, ya que sustituye a su predecesora de 2016, NIS. ¿Quiere conocer mejor los entresijos de la NIS 2? Entonces estás en la página adecuada.

Partage

¿CUÁLES SON LOS OBJETIVOS DE LA DIRECTIVA NIS 2?

NIS 2 fue diseñada para abordar las limitaciones y deficiencias de la directiva NIS original. Aunque esta última representó un gran paso adelante al ser la primera legislación a nivel de la UE centrada específicamente en la ciberseguridad de redes y sistemas de información, la experiencia demostró que sus requisitos a menudo eran insuficientes para enfrentar la rápida evolución de las amenazas cibernéticas.
La directiva NIS 2 tiene como objetivo corregir esas fallas y:

  • mejorar la resiliencia de las entidades críticas imponiendo requisitos más estrictos en materia de ciberseguridad para las entidades esenciales (EE) y las importantes (EI);
  • reforzar la cooperación entre los Estados miembros, así como entre los sectores público y privado, para una respuesta más coordinada a los incidentes de ciberseguridad;
  • aumentar la transparencia exigiendo una notificación más sistemática de los incidentes cibernéticos y reforzando la comunicación sobre amenazas y vulnerabilidades;
  • armonizar los enfoques nacionales al establecer normas mínimas y obligaciones de ciberseguridad más uniformes en toda la UE.

Esta armonización es clave, ya que evita que las debilidades de un Estado miembro pongan en peligro todo el mercado interior europeo.

¿QUÉ CAMBIA CON NIS 2?

#1 Ampliación del ámbito de aplicación

Uno de los mayores cambios de NIS 2 es la ampliación del alcance de la directiva. Mientras que NIS cubría principalmente a los operadores de servicios esenciales (OSE) y a algunos proveedores de servicios digitales, NIS 2 extiende esta cobertura a un mayor número de sectores y entidades, creando dos nuevas categorías: entidades importantes (EI) y entidades esenciales (EE).

¿Qué empresas están afectadas por NIS 2?

Entidades esenciales:

  • más de 250 empleados,
  • facturación superior a 50 millones de euros
  • o balance anual de más de 43 millones de euros.

Entidades importantes:

  • de 50 a 249 empleados,
  • con facturación entre 10 y 49 millones de euros
  • o balance anual entre 10 y 42 millones de euros.

¿Qué sectores están cubiertos?

  • Energía: electricidad, gas y petróleo
  • Transporte: aéreo, ferroviario, por carretera o marítimo
  • Banca y otros servicios financieros
  • Salud: hospitales, laboratorios y fabricantes de dispositivos médicos
  • Proveedores de servicios digitales, incluidas plataformas en línea, motores de búsqueda y servicios de computación en la nube
  • Infraestructura digital: proveedores de DNS, centros de datos y redes de comunicación
  • Agua potable y gestión de aguas residuales
  • Servicios públicos, incluidas administraciones públicas críticas

La ampliación de este ámbito responde al hecho de que muchos sectores que no estaban cubiertos por la directiva original ahora juegan un papel crítico en la sociedad y la economía, convirtiéndose en objetivos potenciales para los atacantes cibernéticos.

#2 Reforzamiento de los requisitos de gestión de riesgos

NIS 2 impone requisitos más estrictos sobre la gestión de riesgos cibernéticos. Obliga a las entidades afectadas a adoptar un enfoque proactivo para identificar, evaluar y mitigar los riesgos de ciberseguridad.
Esto incluye la implementación de medidas técnicas y organizacionales adecuadas, como:

  • Gestión de accesos: restringir el acceso a sistemas y datos sensibles solo a personas autorizadas.
  • Gestión de incidentes: establecer procesos sólidos para detectar, informar y responder a incidentes de ciberseguridad.
  • Gestión de vulnerabilidades: asegurarse de que los sistemas estén actualizados y protegidos contra vulnerabilidades conocidas.
  • Continuidad del negocio: desarrollar y probar planes de continuidad para garantizar la resiliencia en caso de incidentes cibernéticos.
#3 Obligación de informar incidentes

Otra novedad importante de NIS 2 es la introducción de obligaciones más estrictas para reportar incidentes cibernéticos. Las entidades deben notificar los incidentes significativos a las autoridades competentes sin demora injustificada, y en algunos casos, dentro de las 24 horas posteriores al conocimiento del incidente.
Los informes deben incluir detalles sobre:

  • La naturaleza del incidente
  • Su impacto potencial
  • Las medidas tomadas para solucionarlo

El objetivo es que las autoridades nacionales tengan una visión precisa de las amenazas e incidentes en sectores críticos para facilitar una respuesta más rápida y coordinada.

#4 Reforzamiento de capacidades y cooperación

NIS 2 también se centra en fortalecer las capacidades de ciberseguridad a nivel nacional y europeo, y en mejorar la cooperación entre los Estados miembros. Las ciberamenazas no respetan fronteras, por lo que coordinar esfuerzos es crucial.
Los Estados miembros deben:

  • Establecer autoridades nacionales competentes para supervisar la implementación de NIS 2
  • Reforzar las capacidades de sus equipos de respuesta ante incidentes de ciberseguridad (CSIRT)

Crear puntos de contacto únicos para facilitar la comunicación y coordinación en crisis cibernéticas.

¿QUÉ IMPACTO TIENE PARA LAS EMPRESAS Y ADMINISTRACIONES PÚBLICAS?

Refuerzo de los controles internos:

Para cumplir los requisitos de la NIS 2, las entidades afectadas deben reforzar sus controles internos. Esto incluye:

  • la aplicación de políticas y procedimientos sólidos de ciberseguridad,
  • la adopción de tecnologías de seguridad avanzadas,
  • formación continua del personal, para garantizar que sea capaz de responder a las ciberamenazas.
Gobernanza modificada

La NIS 2 también hace hincapié en la responsabilidad de la alta dirección en materia de ciberseguridad. Los consejos de administración y la alta dirección deben participar activamente en la gobernanza cibernética y garantizar que las estrategias de gestión de riesgos se ajustan a los requisitos de la directiva. En caso de incumplimiento, la alta dirección podría tener que rendir cuentas: una buena manera de hacer hincapié en la necesidad de una gobernanza eficaz de la ciberseguridad.

Nuevos costes de cumplimiento

Cumplir la NIS 2 puede representar un presupuesto considerable para las empresas, especialmente para aquellas que aún no han implantado suficientes medidas de ciberseguridad. Dicho presupuesto incluye:

  • la adquisición de nuevas tecnologías de seguridad,
  • formación del personal,
  • la contratación de especialistas en ciberseguridad,
  • la aplicación de procesos de gestión de riesgos.

Pero no olvidemos que estas inversiones son rentables, ya que permiten:

  • reducir el riesgo de ciberataques,
  • limitar las pérdidas financieras asociadas a los incidentes,
  • reforzar la confianza de clientes y socios comerciales.
Algunos retos de la aplicación

Publicar un texto está muy bien, pero las empresas aún tienen que aplicarlo. Y aunque la NIS 2 representa un importante paso adelante para el cibersector europeo, su aplicación plantea importantes retos para las empresas, las administraciones públicas e incluso las autoridades reguladoras. La aplicación de la NIS 2 requiere una estrecha coordinación entre un gran número de partes interesadas, incluidas las autoridades nacionales, las empresas y los proveedores de servicios. En este contexto, uno de los principales retos es armonizar las prácticas de ciberseguridad en todos los Estados miembros de la UE, teniendo en cuenta al mismo tiempo las diferencias nacionales en cuanto a legislación y capacidades. Eso es todo. El cumplimiento de la NIS 2 también representa un reto importante para algunas empresas, en particular las PYME, debido a sus limitados recursos humanos y financieros. Por tanto, necesitarán recibir el apoyo adecuado, sobre todo a través de programas de formación, financiación o asociaciones público-privadas.

NIS 2: ¿qué sigue?

Adaptación a la evolución de las amenazas

Las ciberamenazas siguen evolucionando rápidamente y los ciberdelincuentes utilizan técnicas cada vez más sofisticadas para atacar infraestructuras críticas. Por lo tanto, NIS 2 tendrá que adaptarse constantemente para mantenerse al día, en particular mediante:

  • actualizaciones periódicas de la directiva,
  • la introducción de nuevos requisitos de seguridad,
  • reforzar la cooperación internacional en materia de ciberseguridad.
Armonización y cooperación internacional

NIS 2 pretende armonizar las normas de ciberseguridad en la UE. Las ciberamenazas son a menudo transnacionales y afectan tanto a los Estados miembros como a otros países del mundo. Por eso es esencial que la UE colabore también con organizaciones internacionales para compartir información, elaborar normas comunes y coordinar las respuestas a incidentes graves.

Configurar el futuro de la ciberregulación

La NIS 2 debería contribuir a reforzar la resistencia de las infraestructuras críticas europeas y a aumentar la confianza en el mercado interior digital, garantizando que los ciudadanos y las empresas se beneficien de servicios digitales seguros y fiables. Como resultado, la Directiva también podría servir de modelo para otras regiones del mundo que se enfrentan a retos de ciberseguridad similares.

 

¡Gran noticia! ¡El framework NIS 2 ya está disponible en Tenacy! Mientras se transpone la directiva al derecho francés, la transposición belga ya está integrada en la herramienta… Así que ya puedes comenzar tu proceso de cumplimiento con NIS 2, gracias a planes de acción automatizados adaptados a tu contexto organizacional.