NIS2: Qué es la directiva NIS 2, cumplimiento y cómo me afecta

La Directiva NIS2, también conocida como Normativa NIS 2, representa un marco legal renovado y más robusto en la Unión Europea diseñado para fortalecer la ciberseguridad en los estados miembros. 

En este artículo ofreceremos una visión detallada de lo que es la Directiva NIS2, las medidas de ciberseguridad que impone, sus fechas clave, y cómo afecta a las empresas y a los sujetos obligados a su cumplimiento.

Qué es NIS2

La Directiva NIS2 (Directiva UE 2022/2555 del Parlamento Europeo y del Consejo) es una actualización de la Directiva NIS original (Directiva 2016/1148) sobre la seguridad de las redes y sistemas de información. Adoptada en diciembre de 2022 de manera inicial, la NIS2 responde a la creciente sofisticación y frecuencia de los ciberataques, así como a la mayor dependencia de la sociedad de las tecnologías digitales.

NIS2 establece un marco común para la ciberseguridad en toda la Unión Europea, con el objetivo de mejorar la resiliencia de los sistemas críticos y servicios esenciales. Además, amplía su ámbito de aplicación a un mayor número de sectores y tipos de empresas, y refuerza los requisitos de seguridad, incluidas las sanciones por incumplimiento.

Network and Information Security 2 (NIS 2) es una regulación normativa en forma de Directiva cuyo objeto principal es el de fortalecer la ciberseguridad a nivel comunitario. Esta nueva normativa se enmarca dentro de la Estrategia de Ciberseguridad de la UE

Amplía el alcance de la regulación anterior en todas sus partes y aspectos, abarcando ahora un mayor número de sectores y entidades, incluidas aquellas que se consideran "esenciales" y "importantes" (denominado así como tal) para la sociedad y la economía, como la energía, la salud, el transporte, y el agua, entre otros.

Qué es SRI2

SRI2, o Sistema de Respuesta a Incidentes de Seguridad, es un concepto clave dentro del marco de la Directiva NIS2. Este sistema se refiere a la capacidad organizada de las entidades obligadas de detectar, analizar y mitigar incidentes de seguridad que puedan comprometer la continuidad de sus operaciones.

El SRI2 implica un conjunto de políticas, procedimientos y herramientas que permiten a las organizaciones no solo responder a los incidentes de ciberseguridad, sino también preverlos y gestionarlos de manera eficaz. Este enfoque proactivo es fundamental en la Directiva NIS 2, ya que la directiva hace hincapié en la prevención y la preparación, en lugar de reaccionar únicamente tras un incidente.

Dentro del contexto de NIS2, el término SRI2 también se refiere a la "Seguridad de Redes e Información 2" (del inglés, Security of Network and Information Systems 2). De esta forma, se crea una extensión del marco regulatorio que busca asegurar que las empresas y organizaciones adopten medidas efectivas de seguridad para proteger sus infraestructuras críticas contra amenazas cibernéticas dados los nuevos tipos de fraude y suplantación de identidad. Esto incluye tanto la gestión de riesgos como la obligación de reportar incidentes significativos en plazos específicos, asegurando que los daños potenciales se minimicen y que las autoridades puedan intervenir de manera oportuna.

Medidas de NIS2

La Directiva NIS2 introduce una serie de medidas de ciberseguridad que las empresas y organizaciones deben implementar para cumplir con sus requisitos. Estas medidas son más rigurosas en comparación con la Directiva NIS original y se diseñan para hacer frente a las amenazas actuales del panorama digital. A continuación, se detallan algunas medidas accesorias:

• Evaluación y gestión de riesgos: Las organizaciones deben realizar evaluaciones continuas de los riesgos asociados con la seguridad de sus redes y sistemas de información. Esto incluye la identificación de amenazas, la evaluación de vulnerabilidades y la implementación de controles para mitigar los riesgos.
• Control de accesos: La directiva impone la necesidad de implementar controles estrictos de acceso a los sistemas y datos críticos. Esto incluye el uso de autenticación multifactor (MFA) para garantizar que solo el personal autorizado pueda acceder a ciertos recursos.
• Protección de datos y sistemas: Las organizaciones deben aplicar medidas técnicas para proteger sus datos y sistemas de ciberamenazas. Esto puede incluir el cifrado de datos, la segmentación de redes, y la implementación de firewalls y sistemas de detección de intrusiones.
• Responsabilidad corporativa: La alta dirección de las organizaciones debe aprobar y supervisar las medidas de ciberseguridad implementadas, siendo responsable de las consecuencias de cualquier incumplimiento.
• Obligaciones de reporte: Las organizaciones están obligadas a reportar incidentes de seguridad significativos en un plazo de 24 horas como advertencia inicial, seguido de un informe completo dentro de las 72 horas, y un informe detallado dentro de un mes.

Medidas de ciberseguridad NIS 2 específicas

Por otro lado, NIS 2 implementa medidas de ciberseguridad concretas y específicas. Entre las diez medidas mínimas que deben adoptar las entidades están la autenticación multifactor, la encriptación de datos y la seguridad en la cadena de suministro.

Se establecen así un conjunto de medidas diseñadas para cubrir un amplio espectro de posibles vulnerabilidades y riesgos asociados con los sistemas de información y redes de las entidades obligadas. 

1. Políticas de Seguridad Organizacional: Las organizaciones deben realizar evaluaciones de riesgos de manera regular para identificar posibles amenazas a sus sistemas de información. Basado en estos análisis, deben desarrollar y actualizar políticas de seguridad que aborden los riesgos identificados, asegurando que las medidas implementadas sean proporcionales a la magnitud de los riesgos.
2. Políticas y Procedimientos de Criptografía: La criptografía es fundamental para proteger la confidencialidad e integridad de los datos en procesos como la firma electrónica. La NIS2 exige que las organizaciones tengan políticas claras para la implementación de criptografía, incluyendo el uso adecuado de técnicas de cifrado en todas las comunicaciones y almacenamiento de datos sensibles.
3. Plan de Respuesta a Incidentes y notificación: Es crucial que las organizaciones cuenten con un plan detallado para gestionar incidentes de ciberseguridad. Este plan debe incluir procedimientos para la detección, análisis, contención y mitigación de incidentes, así como un proceso de comunicación eficaz para informar a las partes interesadas y autoridades competentes.
4. Seguridad en la Cadena de Suministro: Las organizaciones deben asegurarse de que sus proveedores y socios en la cadena de suministro también cumplan con las normativas de ciberseguridad. Esto incluye la evaluación continua de los riesgos de la cadena de suministro y la implementación de contratos que estipulen las obligaciones de ciberseguridad.
5. Autenticación Multifactor: La autenticación multifactor (MFA) se convierte en una medida obligatoria bajo la Normativa NIS2 y sus requisitos. Esto implica que, además de la contraseña, los usuarios deben presentar una segunda forma de identificación, lo que añade una capa extra de seguridad para prevenir accesos no autorizados a sistemas críticos.
6. Higiene Cibernética y Formación en Ciberseguridad: La formación continua en ciberseguridad es esencial para que todos los empleados comprendan las mejores prácticas y las amenazas emergentes. Esto incluye la capacitación regular en higiene cibernética, como la actualización de contraseñas, el reconocimiento de correos electrónicos sospechosos y la navegación segura por internet.
7. Procedimientos de Seguridad para Datos Sensibles: Las organizaciones deben implementar procedimientos estrictos para la gestión de datos sensibles. Esto incluye políticas sobre quién puede acceder a estos datos, cómo se manejan y cómo se protegen contra accesos no autorizados o brechas de seguridad.
8. Plan de Continuidad de Negocio: La NIS 2 requiere que las organizaciones estén preparadas para garantizar la continuidad operativa durante y después de un ciberincidente. Esto implica tener copias de seguridad actualizadas, sistemas redundantes y procedimientos claros para la restauración de sistemas críticos.
9. Gestión de Vulnerabilidades: Las organizaciones deben establecer procesos para identificar y corregir vulnerabilidades en sus sistemas de información. Esto incluye la implementación de parches de seguridad, la actualización de software y la revisión periódica de la infraestructura para detectar posibles puntos débiles.
10. Comunicación de Emergencia y Encriptación Interna: En situaciones de emergencia, es fundamental que la comunicación interna sea segura. NIS2 y sus obligaciones exigen la encriptación de todas las comunicaciones críticas, ya sea por texto, voz o video, para garantizar que la información sensible no sea interceptada durante un incidente.

Estas diez medidas constituyen la base para un enfoque integral de ciberseguridad bajo la NIS2, asegurando que las organizaciones estén mejor preparadas para enfrentar el panorama actual de amenazas cibernéticas y cumplan con los estándares exigidos por la Unión Europea.

Fechas y calendario de la Directiva NIS2: entrada en vigor

La Directiva NIS2 fue adoptada formalmente en diciembre de 2022, y su implementación en los estados miembros de la Unión Europea sigue un calendario específico. A continuación se detalla un resumen de las fechas clave:

• Diciembre de 2022: Adopción de la Directiva NIS2 por el Parlamento Europeo y el Consejo.
• 6 de enero de 2023: Entrada en vigor de la Directiva NIS 2.
• 18 meses a partir de la entrada en vigor: Los estados miembros tienen un plazo hasta el 17 de julio de 2024 para transponer la directiva a su legislación nacional. Esto implica que, para esa fecha, cada estado debe haber adaptado sus marcos legales para cumplir con los requisitos de la Norma NIS2.
• Desde julio de 2024: Las organizaciones sujetas a la Directiva deben cumplir con las obligaciones establecidas por la directiva. Las empresas deben haber implementado todas las medidas de ciberseguridad y estar preparadas para las inspecciones y auditorías por parte de las autoridades nacionales.

NIS 2 en España y en la UE

La Directiva NIS2 tiene un impacto significativo en todos los estados miembros de la UE, incluido España. Como normativa de la Unión Europea, requiere que cada país adapte su legislación nacional para alinearse con los nuevos requisitos.

En España, la Ley 8/2021 de Seguridad de Redes y Sistemas de Información será actualizada para incorporar los mandatos de la NIS2. El Centro Criptológico Nacional (CCN) y el Instituto Nacional de Ciberseguridad (INCIBE) jugarán roles cruciales en la implementación y supervisión del cumplimiento de la directiva.

A nivel de la UE, la NIS2 busca una mayor armonización en las políticas de ciberseguridad entre los estados miembros. Anteriormente, las diferencias en la implementación de la Directiva NIS original crearon lagunas en la seguridad cibernética dentro de la UE. Con NIS 2, la Comisión Europea ha introducido medidas más uniformes, que incluyen criterios estandarizados para identificar los sectores y servicios críticos, y mayores poderes para las autoridades nacionales.

Los sectores que están particularmente afectados por la Directiva NIS 2 en la UE incluyen el transporte, la energía, la banca, las infraestructuras digitales, la salud, el agua, y la administración pública. Estas industrias son consideradas críticas para el funcionamiento de la sociedad, y como tal, están sujetas a estrictos requisitos de ciberseguridad bajo la nueva directiva.

¿Cómo afecta la Directiva NIS 2 a las empresas? Cumplimiento y obligaciones

La Directiva NIS2 tiene un impacto significativo en las empresas en la Unión Europea, especialmente aquellas consideradas esenciales o importantes. Estas empresas deberán realizar evaluaciones de riesgo exhaustivas y adaptar sus medidas de seguridad a las nuevas exigencias. Además, la alta dirección de estas organizaciones tendrá una responsabilidad directa en la supervisión y aprobación de las políticas de ciberseguridad, y podrá ser sancionada en caso de incumplimiento.

Ampliación del ámbito de aplicación

Una de las principales novedades de la NIS2 es la ampliación del ámbito de aplicación en comparación con la Directiva NIS original.

Mientras que la primera directiva se centraba en los operadores de servicios esenciales y los proveedores de servicios digitales, la NIS 2 incluye una gama más amplia de sectores como la banca y servicios financieros, como el suministro de agua, los servicios postales y de mensajería, la gestión de residuos, la industria química y alimentaria, entre otros. Además, la Directiva Europea NIS2 también introduce un enfoque basado en el tamaño de la empresa.

Requisitos de cumplimiento más estrictos

Las empresas obligadas por la NIS2 deben cumplir con un conjunto de requisitos más estrictos en comparación con la directiva original. Además de los mencionados en bloques precios del artículo, se incluyen otras medidas de seguridad técnicas y organizativas que sean apropiadas y proporcionadas a los riesgos que enfrentan.

Sanciones por incumplimiento

La NIS2 introduce sanciones más severas para las empresas que no cumplan con los requisitos de la directiva. Las sanciones por incumplimiento pueden ser severas, incluyendo multas de hasta 10 millones de euros o el 2% del volumen de negocio global para las entidades esenciales, y hasta 7 millones de euros o el 1% del volumen de negocio global para las entidades importantes.

Además, las autoridades nacionales tienen la facultad de ordenar a las empresas que adopten medidas correctivas en caso de que se detecten deficiencias en su postura de ciberseguridad. En los casos más graves, las empresas pueden enfrentar la suspensión de sus actividades comerciales si no cumplen con las órdenes de las autoridades.

Responsabilidad de la alta dirección

Otra novedad importante de la NIS2 es la responsabilidad directa que impone a la alta dirección de las empresas. Los directivos ahora deben estar directamente involucrados en la gobernanza de la ciberseguridad y asegurar que las políticas y medidas de seguridad sean implementadas de manera efectiva en toda la organización.

Esto implica que la ciberseguridad no es solo un problema técnico, sino que también es una cuestión estratégica que debe ser abordada a nivel de la junta directiva.

Requisitos de la normativa NIS2 y sujetos obligados

La Directiva NIS2 establece requisitos específicos que deben ser cumplidos por las organizaciones obligadas. Estos requisitos se dividen en dos categorías principales: medidas técnicas y organizativas, y requisitos de notificación de incidentes.

Medidas técnicas y organizativas

Las organizaciones deben implementar una serie de medidas técnicas y organizativas que sean adecuadas y proporcionadas al nivel de riesgo. Estas medidas incluyen:

• Evaluaciones periódicas de riesgos
• Políticas de ciberseguridad
• Controles de acceso y autenticación
• Protección de la infraestructura física y lógica
• Gestión de la continuidad del negocio

Requisitos de notificación de incidentes

En caso de un incidente de ciberseguridad que afecte a la continuidad de los servicios esenciales o al suministro de bienes críticos, las organizaciones deben notificarlo a las autoridades competentes. La notificación debe realizarse dentro de las 24 horas posteriores a la detección del incidente e incluir detalles sobre:

• La naturaleza y el alcance del incidente.

• El impacto en los servicios o bienes afectados.

• Las medidas tomadas para mitigar el impacto del incidente.

• Cualquier otra información relevante que pueda ayudar a las autoridades a evaluar la situación y coordinar una respuesta adecuada.

Sujetos obligados

• Entidades Esenciales: Sectores como energía, salud, agua, transporte y finanzas, que son críticos para el funcionamiento de la sociedad y la economía.
• Entidades Importantes: Sectores que, aunque no son críticos, juegan un papel relevante en la cadena de valor, como proveedores digitales y servicios postales.

Las entidades obligadas deben implementar políticas y procedimientos rigurosos, asegurar la formación y concienciación en ciberseguridad, y estar preparadas para responder rápidamente a cualquier incidente. Los principales sectores afectados incluyen:

• Energía y utilities: Compañías que operan en los sectores de electricidad, gas, petróleo y otros recursos energéticos.
• Transporte: Empresas de transporte aéreo, marítimo, ferroviario y por carretera.
• Banca y finanzas: Instituciones financieras y operadores del mercado de valores.
• Infraestructuras digitales: Proveedores de servicios de internet, centros de datos y otras infraestructuras críticas para las comunicaciones o notificaciones electrónicas.
• Salud: Organizaciones que operan en el sector sanitario, incluidas las farmacéuticas y los hospitales.
• Suministro de agua: Empresas que gestionan el suministro y tratamiento de agua.
• Administración pública: Entidades del gobierno y otras instituciones públicas esenciales.

Cada uno de estos sectores está sujeto a un conjunto de requisitos específicos, adaptados a la naturaleza de los servicios que prestan y al nivel de riesgo que enfrentan.

En cuanto a tamaño se refiere, hay modificaciones muy significativas. Así, las medianas y grandes empresas que operan en los sectores cubiertos por la directiva están automáticamente incluidas, independientemente de su nivel de criticidad. Esto significa que un mayor número de empresas en la UE estará sujeto a los requisitos de ciberseguridad, incluso si no son consideradas esenciales bajo la directiva anterior.

Servicios RegTech para cumplir con NIS2

En resumen, la Directiva NIS2 representa un fortalecimiento significativo de las normas de ciberseguridad en Europa, con un enfoque en la protección de infraestructuras críticas y la responsabilidad corporativa en la gestión de riesgos cibernéticos. Las empresas deben prepararse para cumplir con estos nuevos requisitos antes de la fecha límite de 2024.

Es fundamental que las empresas y organizaciones comprendan las obligaciones que impone la NIS2 y tomen medidas proactivas para cumplir con los requisitos establecidos. Con la fecha límite de implementación a la vuelta de la esquina, la preparación y la adaptación a la NIS 2 deben ser una prioridad en la agenda de cualquier empresa afectada.

Con la implementación de la Directiva NIS2, las organizaciones enfrentan la necesidad de adaptarse a un marco regulatorio más estricto y complejo. Aquí es donde entran en juego los servicios RegTech (tecnología regulatoria), que proporcionan herramientas y soluciones tecnológicas para ayudar a las empresas a cumplir con los requisitos normativos de manera eficiente y automatizada.

En el contexto de la NIS2, los servicios RegTech permiten a las organizaciones automatizar la monitorización, el análisis y la implementación de las medidas de ciberseguridad requeridas por la directiva. 

1. Automatización del Cumplimiento: Las herramientas RegTech pueden automatizar la recopilación y presentación de informes de cumplimiento, asegurando que las organizaciones cumplan con los plazos de reporte de incidentes establecidos por NIS2 (24 horas, 72 horas y un mes) y un mantenimiento de sus sistemas de onboarding y contratación digital 24/7.
2. Monitorización Continua de Seguridad: Las plataformas RegTech pueden proporcionar una monitorización continua de los sistemas de seguridad con módulos de alertas en sus plataformas comerciales como Customer Hub, lo que permite la detección temprana de vulnerabilidades y la implementación automática de parches y actualizaciones.
3. Evaluación y Gestión de Riesgos: Herramientas avanzadas de RegTech ofrecen capacidades para realizar evaluaciones de riesgos en tiempo real, ayudando a las empresas a identificar y mitigar riesgos antes de que se conviertan en incidentes de seguridad.
4. Auditorías y Reportes: La NIS2 requiere auditorías periódicas para asegurar el cumplimiento. Los servicios RegTech facilitan estas auditorías proporcionando informes detallados y precisos que cumplen con los requisitos normativos.
5. Seguridad en la Comunicación: Dado que NIS2 exige la encriptación de comunicaciones internas en situaciones de emergencia, las soluciones RegTech pueden integrar sistemas de comunicación seguros con notificaciones electrónicas y firma digital que cumplan con estas exigencias.
6. Análisis Forense y Respuesta a Incidentes: En caso de un incidente de ciberseguridad, las herramientas RegTech pueden realizar generar trazabilidad completa de determinadas operaciones gracias a sus informes de auditoría E2E con audit trail avanzado y automáticos para identificar eventos con sello de tiempo (timestamps) y smart contracts gracias a bots RPA cualificado raíz y ayudar en la contención y recuperación.

La automatización de procesos no sólo reduce significativamente los costes asociados con la gestión del cumplimiento normativo, sino que ayuda a todo tipo de operaciones de la compañía. Las soluciones RegTech aseguran una mayor precisión y consistencia en la implementación de medidas de ciberseguridad, minimizando el riesgo de errores humanos. En lugar de reaccionar a las auditorías y sanciones, las empresas pueden adoptar un enfoque proactivo y automatizado, asegurando el cumplimiento continuo y mejorando su postura de seguridad y anti-fraude.

En conclusión, los servicios y soluciones SaaS RegTech se están convirtiendo en una herramienta esencial para las empresas que buscan cumplir con la Directiva NIS2 de manera efectiva, asegurando no solo el cumplimiento normativo sino también una mejora significativa en su ciberseguridad general.

Etiquetas