La evolución y sofisticación de amenazas en el ámbito cibernético ha dado origen a nuevos desafíos, además de poner de manifiesto las limitaciones de los marcos europeos hasta la fecha. Ello ha llevado a la revisión de legislación europea en materia de ciberseguridad, originándose de este esfuerzo la Directiva (UE) 2022/2555, conocida como NIS2.

Sin embargo, la novedad de ésta puede suscitar dudas sobre su contenido y alcance, tales como:

¿A quién aplica? ¿Es obligatoria? ¿Qué requisitos contempla? ¿Qué novedades implica respecto a la NIS1? ¿Qué ocurre en caso de incumplimiento?

Éstas preguntas, entre otras, son las que se abordarán en el presente artículo, cuyo objetivo principal es introducirnos a la Directiva NIS2, de manera que todo lector pueda comprender fácilmente los puntos esenciales que la configuran.

Antecedentes

NIS1 to NIS2Conscientes del papel crucial que desempeñan las redes y los sistemas de información en la sociedad, en 2016 la Unión Europea elaboró la Directiva (UE) 2016/1148, conocida como NIS1. Ésta buscaba mejorar las capacidades en ciberseguridad de la Unión, reducir los riesgos de redes y sistemas utilizados en servicios esenciales y garantizar la continuidad de éstos ante incidentes. Así, se contribuiría a la seguridad de la totalidad de la Unión, y a su economía y sociedad.

Sin embargo, una revisión posterior de la Directiva NIS1 demostró una concepción y aplicación de los requisitos de ciberseguridad disparejas entre los distintos Estados miembro. Ello se refleja en las diferencias en su ámbito de aplicación, cuya delimitación se dejó en manos de los propios Estados, así como en lo que respecta a las obligaciones de seguridad y notificación de incidentes, supervisión y observancia. Esto supone que algunos Estados miembro pueden resultar más vulnerables frente a ciberamenazas, lo cual podría afectar a toda la Unión.

Por tanto, el 27 de diciembre de 2022 se publicó una nueva directiva que derogaba la NIS1, la cual entró en vigor en España el 16 de enero de 2023: La Directiva NIS2. Ésta tenía el objetivo de suprimir las divergencias entre los Estados miembro y aumentar el nivel de ciberseguridad. Para ello, amplía su ámbito de aplicación, refuerza los requisitos de seguridad, precisa el proceso de notificación de incidentes, aborda la seguridad durante la cadena de suministro y las relaciones con proveedores, y establece una red europea de soporte de crisis (EU-CYCLONE).

Características principales de la NIS2

1) Obligatoriedad y Trasposición

La Directiva NIS2 debe cumplirse por todos los Estados que forman parte de la Unión Europea, y es obligatoria para los sectores y actividades que identifica. Sin embargo, antes debe transponerse por España a través de una norma con rango de ley antes del 18 de octubre de 2024. A partir de entonces, la NIS2 será aplicable y obligatoria de cumplir.

2) Sujetos de aplicación

La Directiva NIS2 aplica a entidades públicas y privadas que:

    1. Sean empresas medianas (o superiores) dentro de los sectores del Anexo I o II, y presten sus servicios o lleven a cabo sus actividades en el territorio de la Unión Europea.
    2. Independientemente del tamaño, que sean entidades de sectores de los Anexos I o II cuando cumplen alguna de las siguientes características:
      1. Que sean proveedores de redes públicas de comunicaciones electrónicas o servicios de comunicaciones electrónicas;
      2. Que sean prestadores de servicios de confianza;
      3. Que sean registros de nombres de dominio de primer nivel y proveedores de servicios de sistema de nombres de dominio;
      4. Que presten Servicios Esenciales u operen Infraestructuras Estratégicas.
      5. Que sea una entidad de la Administración Pública central, o regional si sus servicios impactan en actividades sociales o económicas críticas.
    3. Sean entidades que operen Infraestructuras Críticas.
    4. Sean entidades que presten servicios de registro de nombres de dominio.

Aquí, conviene especificar dos puntos:

    1. Se considera empresa mediana si cumple con las siguientes características:
      1. Más de 50 trabajadores y menos de 250.
      2. Que cumple con una de las siguientes alternativas:
        1. Volumen de negocios anual igual o inferior a 50 mill. €, pero superior a 10 mill.  €.
        2. Balance anual igual o inferior a 43 mill. €, pero superior a 10 mill. €.
    2. Los Anexos I y II identifican los siguientes sectores como críticos o de alta criticidad:
      • Energía
      • Transporte
      • Banca
      • Infraestructuras de los mercados financieros
      • Sector sanitario
      • Agua potable
      • Aguas residuales
      • Infraestructura digital nuevo
      • Gestión de servicios TIC
      • Administración Pública
      • Espacio
      • Servicios postales y de mensajería
      • Gestión de residuos
      • Fabricación, producción y distribución de sustancias y mezclas químicas
      • Producción, transformación y distribución de alimentos
      • Fabricación
      • Proveedores de servicios digitales
      • Investigación

Tal y como se observa, algunos de estos sectores son de nueva incorporación, mientras que en otros se han incluido nuevos subsectores o extendido los existentes.

3) Tipos de entidades

La Directiva NIS2 divide a sus sujetos de aplicación entre entidades esenciales e importantes, a cada una de las cuales les asigna una serie de requisitos más o menos reforzados.

Se consideran entidades esenciales:

    • Grandes empresas de los sectores del Anexo I.
    • Prestadores cualificados de servicios de confianza y registros de nombres de dominio de primer nivel y los proveedores de servicios de DNS.
    • Medianas empresas proveedoras de redes públicas de comunicaciones electrónicas o de servicios de comunicaciones.
    • Infraestructuras Críticas.
    • Si así lo dispone el Estado miembro, Operadores de servicios esenciales.

Se consideran entidades importantes todas las demás.

4) Requisitos de seguridad

La Directiva NIS2 establece que se deberán implantar medidas de carácter técnico, operativo y organizacional, que incluirán, como mínimo:

    • Políticas de seguridad de los sistemas de información y análisis de riesgos;
    • Gestión de incidentes;
    • Continuidad del negocio y gestión de crisis;
    • Seguridad de la cadena de suministro;
    • Seguridad en la adquisición, el desarrollo y el mantenimiento de sistemas y activos, incluida la gestión de las vulnerabilidades;
    • Evaluación de la eficacia de las medidas de seguridad implantadas;
    • Ciberhigiene y formación en ciberseguridad;
    • Políticas y procedimientos sobre criptografía y, en su caso, cifrado;
    • Seguridad de los recursos humanos, control de acceso y gestión de activos;
    • Autenticación multifactorial y/o continua, y seguridad en las comunicaciones.

5) Obligación de notificación de incidentes

Por otro lado, la Directiva NIS2 establece que las entidades deberán notificar a su CSIRT (equipo de respuesta a incidentes de seguridad informáticos) o autoridad competente (en caso de haber otras normas sectoriales aplicables) todo incidente significativo. Es decir, incidentes que le causen graves perturbaciones operativas o pérdidas económicas, o que perjudique considerablemente a otras personas físicas o jurídicas.

Los requisitos y plazos de notificación son los siguientes:

    1. Alerta temprana en 24h, identificando posibles acciones ilícitas o malintencionadas, y repercusiones transfronterizas.
    2. Notificación del incidente, con la actualización de la alerta y evaluación inicial, antes de 72h. La evaluación incluirá la gravedad del incidente e indicadores de compromiso. Este plazo será de 24 h para prestadores de servicios de confianza.
    3. Se podrá solicitar un informe intermedio con actualizaciones.
    4. Informe final en un plazo máximo de 1 mes tras la notificación (punto 2) que incluya:
      • Descripción detallada del incidente, incluyendo su gravedad e impacto.
      • El tipo de amenaza o causa principal que haya desencadenado el incidente.
      • Medidas paliativas aplicadas y en curso.
      • Cuando proceda, las repercusiones transfronterizas del incidente.

6) Supervisión y ejecución

Cuando existan pruebas o indicios de que una entidad incumple la Directiva NIS2, las autoridades podrán evaluar el cumplimiento mediante auditorías, pruebas y solicitudes de información.

En el caso de las entidades esenciales, las medidas de supervisión podrán ser tanto a priori como a posteriori, y se prevé la suspensión de certificados acreditativos, prohibiciones temporales o multas en caso de incumplimiento. La persona física responsable de la entidad esencial será responsable por dicho incumplimiento. Por otro lado, las entidades importantes sólo podrán ser evaluadas a posteriori, y podrán enfrenarse a multas administrativas.

7) Régimen sancionador

A diferencia de su antecesora, la Directiva NIS2 establece claramente un régimen sancionador y lista una serie de sanciones específicas en caso de incumplimiento, tales como:

    • Imposición de multas administrativas.
    • Suspensión de certificaciones relativas al servicio (entidades esenciales).
    • Prohibición temporal a los responsables de funciones directivas (entidades esenciales).
    • Sanción de un máximo de, al menos, 10.000.000€ o hasta el 2% del volumen de negocios total anual a escala mundial de la entidad, optándose por la mayor cuantía.
    • Sanción de un máximo de, al menos, 7.000.000€ o el 1,4% del volumen de negocios total anual a nivel mundial de entidad, optándose por la mayor cuantía.

(No) Certificación en la directiva NIS2

Actualmente no existe una certificación específica de esquemas europeos, incluyendo la Directiva NIS2. Por ello, la propia directiva promueve el uso de normas europeas e internacionales, y el uso de productos, servicios y procesos de TIC certificados.

En la práctica y de acuerdo con la normativa española, esto se traduce comúnmente en la certificación de la entidad de acuerdo con el R.D. 311/2022, por el que se regula el Esquema Nacional de Seguridad y también a la certificación de la ISO27001:2022 que establece un sistema de gestión de seguridad de la información.

Conclusiones

En conclusión, la Directiva NIS2 representa un avance significativo en la ciberseguridad, ampliando su ámbito de aplicación y estableciendo medidas más rigurosas para la protección no sólo de Infraestructuras Críticas, sino de una porción mucho más amplia del tejido empresarial europeo.

¿Tienes dudas de si tu empresa debe cumplir con la Directiva NIS2? ¿No tienes claro cómo puedes implantarla en tu organización?

Desde PERSEUS CYBERSECURITY SERVICES podemos ayudarte a cumplir con la Directiva NIS2. Contamos con un equipo de consultoría altamente especializado y con gran experiencia en ayudar a las empresas a mejorar su ciberseguridad.

Ponte en contacto con nosotros a través del  formulario de nuestra página web o a través de los siguientes medios:

Itxaso Iturriaga

Área de Consultoría