Skip to main content

Nueva Directiva NIS2

Conscientes del gran uso que nuestra sociedad hace de las redes y sistemas de información y con el fin de garantizar la ciberseguridad de las mismas, la Unión Europea lanzó el 6 de julio de 2016 la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión”, conocida como directiva NIS.

¿Qué es La Directiva NIS2 y cuál es su objetivo?

La Directiva NIS, tiene como objetivo la estandarización del nivel general de seguridad de las redes y sistemas de información de la Unión Europea. Para ello, establece obligaciones y medidas para las entidades incluidas en la norma, sobre la gestión de riesgos de la ciberseguridad, notificaciones, sanciones, etc., así como de supervisión y ejecución aplicables a los estados miembros.

Estas medidas fueron aplicadas por primera vez en 2016, pero el incremento de las transacciones remotas durante la pandemia de COVID-19, originó un aumento de los ciberataques, revelando insuficientes o laxas las normativas especificadas en la Directiva NIS. Por este motivo, la Unión Europea reformó la Directiva endureciendo las medidas de ciberseguridad en redes y sistemas de la información.

Finalmente, el pasado 27 de diciembre de 2022, se publicó en el diario oficial de la Unión Europea (DOUE), la nueva directiva 2022/2555, conocida como NIS2 y que aplica a todos los estados miembros.

En el caso de España, NIS2 tendrá un periodo de convivencia con el actual Real Decreto 43/2021 sobre la seguridad de las redes y los sistemas de información, hasta su completa implantación el 17 de octubre de 2024.

¿Qué cambia en la nueva Directiva NIS2?

En la previa directiva NIS, la EU disponía de una lista de criterios de evaluación y designaba las empresas que entraban dentro de la aplicación de la norma, estando estas limitadas al grupo de empresas denominado “entidades esenciales”. NIS2 amplía el alcance de las entidades que deben cumplir sus directrices, incluyendo un nuevo grupo, las “entidades importantes”.

Veamos cuáles son los requisitos para cada grupo:

Entidades Esenciales

  • Son aquellas empresas con más de 250, con un volumen de negocios superior a 50 millones de euros y un balance superior a 43 millones de euros.
  • Los sectores incluidos en esta categoría son: Energía | Sanidad | Entidades Bancarias | Transporte | Mercados Financieros | Suministradores y compañías de agua potable | Proveedores y compañías de aguas residuales | Digital (proveedores de servicios de computación en la nube, redes de distribución de contenido, Proveedores Cualificados de Servicios de Confianza) | Gestión de servicios TIC | Espacio y Administración pública.
  • Las entidades esenciales serán sometidas a una supervisión activa
  • Las sanciones administrativas por incumplimiento se incrementan hasta alcanzar la pena de mayor cuantía, o el 2 % de la facturación anual o 10 millones de euros.

Entidades importantes

  • Empresas de 50 a 250, con un volumen de negocios de entre 10 y 50 millones de euros y un balance inferior a 43 millones de euros.
  • Los sectores incluidos son: Servicios postales | Servicios de mensajería | Gestión de residuos | Sustancias químicas | Alimentos | Industria | Servicios digitales (online marketplaces, buscadores online, redes sociales) | Investigación.
  • Las entidades esenciales serán sometidas a una supervisión pasiva
  • Las sanciones administrativas por incumplimiento serán más leves que en los casos de las entidades esenciales.

A pesar de que la nueva directiva NIS2 define los grupos de entidades afectadas por la directiva y sus sectores, también recoge una ampliación del ámbito de aplicación, permitiendo a los estados miembros incluir sectores no contemplados, sin importar el tamaño de la empresa.

NIS 2 excluye del ámbito de la aplicación, a las empresas que trabajen en la defensa o seguridad nacional, como la policía o el poder judicial.

Otras de las medidas adoptadas por la nueva directiva NIS2 son:

  • Nuevos requisitos de seguridad. Entre los nuevos requisitos de seguridad encontramos las actualizaciones de software, configuración de dispositivos, segmentación de la red, la adopción de medidas de confianza cero, la gestión de la identidad, la seguridad de la cadena de suministro, el cifrado, la divulgación de vulnerabilidades y la respuesta a incidentes.

Además, como medida preventiva, la nueva directiva NIS2 requiere a las entidades la concienciación de los usuarios y la organización de formaciones para su personal para informar y sensibilizar sobre las ciberamenazas.

  • Notificación de los incidentes de seguridad. Con el fin de favorecer la comunicación ente los EEMM y originar un entorno de cooperación más eficaz y de confianza entre los estados miembros, NIS2 establece la creación de una red de Equipos de Respuesta a Incidentes de Seguridad Informática (red CSIRT).

A nivel nacional, la nueva directiva NIS2, mantiene la libertad de cada estado miembro para regular los incidentes que no tengan ninguna repercusión en otros países de la Unión, y requiere a las empresas, en caso de incidentes de #SeguridadCibernética, informar a las autoridades pertinentes en un plazo de 24 h y preparar un informe detallado en un plazo de 72 h (acortando el plazo de reporte).

  • Obligaciones organizativas. Las empresas deberán disponer de un documento donde se especifique su política de seguridad digital y, a partir de este, deberán generar los protocolos de seguridad acordes con la directiva.
  • Inclusión de la cadena de suministro. Las empresas deben cumplir con las nuevas medidas de seguridad y su vez, exigirlas a sus proveedores y terceros.
  • Coordinación entre las instituciones europeas y nacionales.
    Colaboración público-privada para creación de redes de cooperación mediante la creación de asociaciones en el ámbito de la #ciberseguridad que favorezcan el intercambio de conocimientos y de buenas prácticas.

Para su aplicación en el ámbito de la coordinación entre instituciones europeas y nacionales, la directiva destaca los siguientes puntos:

    • La designación de una persona de contacto única, siendo el responsable de seguridad (CISO) y que se encargue de coordinar las cuestiones relacionadas con la #seguridad de los sistemas de redes y de información y de la cooperación transfronteriza a escala de la Unión.
    • El equiparse técnicamente con el uso de las últimas tecnologías, omo la #InteligenciaArtificial, y organizase en lo relativo a la prevención, detección y respuesta ante incidentes y riesgos de #ciberataques, con el fin de reducirlos.

En Víntegris, como Prestadores de Servicios de Confianza y empresa considerada “esencial” por la Directiva NIS2, disponemos de políticas de seguridad para garantizar nuestras redes y la información que custodiamos, prevenir ciberataques y detectar riesgos. Para ello, contamos con nuestra responsable de ciberseguridad, Victoria Hernández (CISO) y su equipo, quienes se encargan de crear y aplicar las políticas de seguridad zero trust que garantizan la integridad de las redes e información, a la vez que responden ante auditorías externas, las cuales, cabe decir, venimos pasando con excelencia desde que nos constituimos Prestadores Cualificados de Servicios de Confianza en 2016.

Deja un comentario