¿Qué es la Directiva NIS 2 (Network and Information Security 2)?
La Directiva NIS 2 (Directiva (UE) 2022/2555) es un acto legislativo cuyo objetivo es alcanzar un alto nivel común de ciberseguridad en toda la Unión Europea.
Los Estados miembros deben garantizar que las entidades esenciales e importantes adopten medidas técnicas, operativas y organizativas adecuadas y proporcionadas para gestionar los riesgos que se plantean para la seguridad de las redes y los sistemas de información, y para prevenir o minimizar el impacto de los incidentes en los destinatarios de sus servicios y en otros servicios. Las medidas deben basarse en un enfoque que tenga en cuenta todos los riesgos.
Diciembre de 2022: la Directiva NIS 2 se publicó en el Diario Oficial de la Unión Europea como Directiva (UE) 2022/2555.
Nombre completo: El nombre completo es «Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a medidas para alcanzar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) n.º 910/2014 y la Directiva (UE) 2018/1972 y se deroga la Directiva (UE) 2016/1148 (Directiva NIS 2)».
¿Cuál es el correcto? ¿NIS 2 o NIS2?
NIS 2 es el nombre correcto, ya que es el publicado en el Diario Oficial de la Unión Europea.
El nombre NIS2 también se ha utilizado en documentos oficiales.
Plazos
Antes del 17 de octubre de 2024, los Estados miembros deberán adoptar y publicar las medidas necesarias para dar cumplimiento a la Directiva NIS 2.
Estas medidas se aplicarán a partir del 18 de octubre de 2024.
La Directiva (UE) 2016/1148 (Directiva SRI) queda derogada con efectos a partir del 18 de octubre de 2024.
17 de julio de 2024
Antes del 17 de julio de 2024 y, a continuación, cada 18 meses, EU-CyCLONe presentará al Parlamento Europeo y al Consejo un informe de evaluación de sus trabajos.
17 de octubre de 2024
Antes del 17 de octubre de 2024, la Comisión adoptará actos de ejecución por los que se establezcan los requisitos técnicos y metodológicos de las medidas relativas a los:
- Proveedores de servicios DNS
- Registros de nombres TLD
- Servicios de computación en nube
- Centros de datos
- Proveedores de redes de suministro de contenidos
- Proveedores de servicios gestionados
- Servicios de seguridad gestionados
- Proveedores de mercados en línea
- de motores de búsqueda en línea
- Plataformas de servicios de redes sociales
- y los proveedores de servicios TRUST.
17 de enero de 2025
El 17 de enero de 2025, el Grupo de Cooperación establecerá, con la asistencia de la Comisión y de la ENISA y, en su caso, de la red de CSIRT, la metodología y los aspectos organizativos de las evaluaciones inter pares. El objetivo es aprender de las experiencias compartidas, reforzar la confianza mutua, alcanzar un alto nivel común de ciberseguridad, así como mejorar las capacidades y políticas de ciberseguridad de los Estados miembros necesarias para aplicar la presente Directiva. La participación en las evaluaciones inter pares es voluntaria. Las evaluaciones inter pares serán llevadas a cabo por expertos en ciberseguridad. Los expertos en ciberseguridad serán designados por al menos dos Estados miembros, distintos del Estado miembro objeto de la revisión.
17 de abril de 2025
Antes del 17 de abril de 2025, los Estados miembros elaborarán una lista de entidades esenciales e importantes, así como de entidades que presten servicios de registro de nombres de dominio. Los Estados miembros revisarán y, en su caso, actualizarán dicha lista periódicamente y, a partir de entonces, al menos cada dos años.
Antes del 17 de abril de 2025 y, posteriormente, cada dos años, las autoridades competentes notificarán a la Comisión y al Grupo de Cooperación el número de entidades esenciales e importantes de cada sector.
17 de octubre de 2027
Antes del 17 de octubre de 2027 y posteriormente cada 36 meses, la Comisión revisará el funcionamiento de la presente Directiva e informará al Parlamento Europeo y al Consejo.
Miembros de la red CSIRTS en España
Obligaciones importantes
a) Según el artículo 20 (Gobernanza), los órganos de dirección de las entidades esenciales e importantes deben aprobar las medidas de gestión de riesgos de ciberseguridad adoptadas por dichas entidades, supervisar su aplicación y «pueden ser considerados responsables de las infracciones.»
Artículo 20
b) Según el artículo 20, los Estados miembros velarán por que «los miembros de los órganos de dirección de las entidades esenciales e importantes estén obligados a seguir una formación», y alentarán a las entidades esenciales e importantes a ofrecer periódicamente una formación similar a sus empleados, con el fin de que adquieran conocimientos y competencias suficientes que les permitan identificar los riesgos y evaluar las prácticas de gestión de los riesgos de ciberseguridad y su impacto en los servicios prestados por la entidad.
Artículo 21
c) Según el artículo 21 (Medidas de gestión de los riesgos de ciberseguridad), las entidades esenciales e importantes deben adoptar medidas técnicas, operativas y organizativas apropiadas y proporcionadas para gestionar los riesgos que se plantean para la seguridad de las redes y sistemas de información que dichas entidades utilizan para sus operaciones o para la prestación de sus servicios, y para prevenir o minimizar el impacto de los incidentes en los destinatarios de sus servicios y en otros servicios.
Garantizarán un nivel de seguridad
Teniendo en cuenta el «estado de la técnica» y, en su caso, las normas europeas e internacionales pertinentes, así como el coste de su aplicación, las medidas mencionadas garantizarán un nivel de seguridad de las redes y sistemas de información adecuado a los riesgos planteados. Al evaluar la proporcionalidad de dichas medidas, se tendrá debidamente en cuenta el grado de exposición de la entidad a los riesgos, el tamaño de la entidad y la probabilidad de que se produzcan incidentes y su gravedad, incluidas sus repercusiones sociales y económicas.
Un nuevo enfoque
Las medidas se basarán en un «enfoque que tenga en cuenta todos los riesgos», destinado a proteger las redes y los sistemas de información, así como el entorno físico de dichos sistemas, frente a los incidentes, e incluirán «como mínimo» lo siguiente:
(a) las políticas de análisis de riesgos y de seguridad de los sistemas de información
(b) gestión de incidentes
(c) la continuidad de las actividades, como la gestión de copias de seguridad y la recuperación en caso de catástrofe, y la gestión de crisis
(d) la seguridad de la cadena de suministro, incluidos los aspectos relativos a la seguridad de las relaciones entre cada entidad y sus proveedores directos o prestadores de servicios
(e) la seguridad en la adquisición, el desarrollo y el mantenimiento de redes y sistemas de información, incluido el tratamiento y la divulgación de vulnerabilidades
(f) políticas y procedimientos para evaluar la eficacia de las medidas de gestión de riesgos en materia de ciberseguridad
(g) prácticas básicas de ciberhigiene y formación en ciberseguridad
(h) políticas y procedimientos relativos al uso de la criptografía y, en su caso, del cifrado
(i) la seguridad de los recursos humanos, las políticas de control de acceso y la gestión de activos
(j) el uso de soluciones de autenticación multifactor o autenticación continua, comunicaciones de voz, vídeo y texto seguras y sistemas de comunicación de emergencia seguros dentro de la entidad, cuando proceda.
Nota importante para las entidades no pertenecientes a la UE
De conformidad con el artículo 26 (Competencia y territorialidad), si una entidad de las mencionadas en el apartado 26.1.(b) («proveedores de servicios DNS, registros de nombres TLD, entidades que prestan servicios de registro de nombres de dominio, proveedores de servicios de computación en nube, proveedores de servicios de centros de datos, proveedores de redes de suministro de contenidos, proveedores de servicios gestionados, proveedores de servicios de seguridad gestionados, así como proveedores de mercados en línea, de motores de búsqueda en línea o de plataformas de servicios de redes sociales») no está establecida en la UE, pero ofrece servicios en la UE, deberá designar a un representante en la UE.
El representante deberá estar establecido en uno de los Estados miembros en los que se ofrezcan los servicios. Se considerará que dicha entidad está sujeta a la jurisdicción del Estado miembro en el que esté establecido el representante. A falta de representante, cualquier Estado miembro en el que la entidad preste servicios podrá emprender acciones legales contra la entidad por infracción de la presente Directiva.
18 de septiembre de 2023 – Directrices de la Comisión sobre la relación entre la Directiva NIS 2 y la Digital Operational Resilience Act (DORA).
Las Directrices de la Comisión sobre la aplicación del artículo 4 (1) y (2) de la Directiva NIS 2, que se publicaron en el Diario Oficial de la Unión Europea el 18 de septiembre de 2023, cubren algunas de las principales áreas de preocupación para las entidades que tratan de entender si deben cumplir con la Directiva NIS 2, o la Ley de Resiliencia Operativa Digital (DORA) y otros actos jurídicos sectoriales específicos de la Unión.
Artículo 4, apartado 1
El artículo 4, apartado 1, de la Directiva NIS 2 establece que, cuando los actos jurídicos sectoriales de la Unión (como la DORA, que se aplica en el sector financiero) exijan a las entidades esenciales o importantes que adopten medidas de gestión de riesgos en materia de ciberseguridad o que notifiquen incidentes significativos, y cuando dichos requisitos sean al menos de efecto equivalente a las obligaciones establecidas en la Directiva NIS 2, las disposiciones pertinentes de la Directiva NIS 2 no se aplicarán a dichas entidades. Se aplicarán las disposiciones sectoriales específicas.
Dicha disposición establece además que, cuando los actos jurídicos sectoriales de la Unión no cubran todas las entidades de un sector específico incluidas en el ámbito de aplicación de la Directiva NIS 2, las disposiciones pertinentes de la Directiva NIS 2 seguirán aplicándose a las entidades no cubiertas por dichos actos jurídicos sectoriales de la Unión.
Artículo 4, apartado 2, letra a)
El artículo 4, apartado 2, letra a), de la Directiva NIS 2 establece que las medidas de gestión del riesgo de ciberseguridad que las entidades esenciales o importantes estén obligadas a adoptar en virtud de actos jurídicos sectoriales de la Unión se considerarán equivalentes en sus efectos a las obligaciones establecidas en la Directiva NIS 2, cuando dichas medidas sean al menos equivalentes en sus efectos a las establecidas en el artículo 21, apartados 1 y 2, de la Directiva NIS 2.
Disposiciones sectoriales
Al evaluar si los requisitos de un acto jurídico sectorial de la Unión sobre las medidas de gestión de riesgos en materia de ciberseguridad son al menos equivalentes en sus efectos a los establecidos en el artículo 21, apartados 1 y 2, de la Directiva SRI 2, los requisitos de dicho acto jurídico sectorial de la Unión deben, como mínimo, corresponder a los requisitos de dichas disposiciones o ir más allá de ellos, lo que significa que las disposiciones sectoriales pueden ser más detalladas en cuanto al fondo en comparación con las disposiciones correspondientes de la Directiva SRI 2.
Una consideración importante a la hora de evaluar la equivalencia de un acto jurídico sectorial de la Unión con los requisitos del artículo 21, apartados 1 y 2, de la Directiva SRI 2 es que las medidas de gestión de riesgos en materia de ciberseguridad exigidas por el acto jurídico sectorial de la Unión deben basarse en un «enfoque que abarque todos los peligros».
Medidas de gestión de riesgos de ciberseguridad
Dado que las amenazas a la seguridad de los sistemas de red y de información pueden tener distintos orígenes, cualquier tipo de evento puede tener un impacto negativo en los sistemas de red y de información de la entidad y conducir potencialmente a un incidente. Por lo tanto, las medidas de gestión de riesgos de ciberseguridad adoptadas por la entidad deben proteger no sólo la red y los sistemas de información de la entidad, sino también el entorno físico de dichos sistemas frente a cualquier acontecimiento, como sabotajes, robos, incendios, inundaciones, fallos en las telecomunicaciones o en el suministro eléctrico, o accesos físicos no autorizados, que puedan comprometer la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o procesados o de los servicios ofrecidos por la red y los sistemas de información o accesibles a través de ellos.
Medidas de gestión de riesgos
Por consiguiente, las medidas de gestión de riesgos en materia de ciberseguridad exigidas por un acto jurídico sectorial de la Unión deben abordar específicamente la seguridad física y medioambiental de las redes y sistemas de información frente a fallos de los sistemas, errores humanos, actos malintencionados o fenómenos naturales.
NIS 2 y DORA.
Las Directrices de la Comisión sobre la relación entre la Directiva NIS 2 y la Ley de Resiliencia Operativa Digital (DORA) de 18 de septiembre de 2023, explican con más detalle lo siguiente en el Apéndice:
El artículo 1, apartado 2, del DORA establece que, en relación con las entidades financieras cubiertas por la Directiva NIS 2 y sus correspondientes normas nacionales de transposición, el DORA se considerará un acto jurídico sectorial específico de la Unión a efectos del artículo 4 de la Directiva NIS 2.
Esta afirmación se refleja en el considerando (28) del preámbulo de la Directiva NIS 2, según el cual el DORA debe considerarse un acto jurídico sectorial de la Unión en relación con la Directiva NIS 2 por lo que respecta a las entidades financieras.
En consecuencia, las disposiciones del DORA relativas a la gestión de riesgos de las tecnologías de la información y la comunicación (TIC) (artículo 6 y siguientes), la gestión de incidentes relacionados con las TIC y, en particular, la notificación de incidentes graves relacionados con las TIC (artículo 17 y siguientes), así como sobre las pruebas de resistencia operativa digital, (artículo 24 y siguientes) los acuerdos de intercambio de información (artículo 25) y el riesgo de las TIC frente a terceros (artículo 28 y siguientes) se aplicarán en lugar de las previstas en la Directiva NIS 2.
Por lo tanto, los Estados miembros no deben aplicar las disposiciones de la Directiva NIS 2 sobre gestión del riesgo de ciberseguridad y obligaciones de información, supervisión y ejecución a las entidades financieras cubiertas por el DORA.
28 de noviembre de 2022 – el Consejo adopta la Directiva NIS 2.
La Directiva NIS 2 sustituye y deroga la Directiva NIS (Directiva 2016/1148/CE). NIS 2 mejora la gestión de riesgos de ciberseguridad e introduce obligaciones de información en sectores como la energía, el transporte, la salud y la infraestructura digital.
La Directiva, publicada en el Diario Oficial de la Unión Europea entra en vigor a los veinte días de dicha publicación.
Los Estados miembros deberán incorporar las disposiciones de la Directiva NIS 2 a la legislación nacional en un plazo de 21 meses a partir de la entrada en vigor de la directiva.
10 de noviembre de 2022 – el Parlamento Europeo adopta la Directiva NIS 2.
La Directiva NIS 2 sustituye y deroga la Directiva NIS (Directiva 2016/1148/CE).
Siguiente paso: El Consejo de la Unión Europea debe adoptar formalmente el texto de la Directiva NIS 2.
13 de mayo de 2022 – Reforzar la ciberseguridad y la resistencia en toda la UE – Acuerdo provisional del Consejo y el Parlamento Europeo
El Consejo y el Parlamento Europeo han llegado a un acuerdo sobre medidas para lograr un alto nivel común de ciberseguridad en toda la Unión, a fin de seguir mejorando la capacidad de resistencia y de respuesta a incidentes tanto del sector público como del privado y de la UE en su conjunto.
Una vez adoptada, la nueva Directiva, denominada «NIS2», sustituirá a la actual Directiva sobre seguridad de las redes y sistemas de información (Directiva NIS).
Gestión de riesgos e incidentes y cooperación más sólidas – Directiva NIS 2
La NIS2 sentará las bases para las medidas de gestión de riesgos de ciberseguridad y las obligaciones de información en todos los sectores cubiertos por la Directiva, como la energía, el transporte, la sanidad y las infraestructuras digitales.
La directiva revisada pretende eliminar las divergencias en los requisitos de ciberseguridad y en la aplicación de las medidas de ciberseguridad en los distintos Estados miembros. Para lograrlo, establece normas mínimas para un marco regulador y establece mecanismos para una cooperación eficaz entre las autoridades pertinentes de cada Estado miembro. Actualiza la lista de sectores y actividades sujetos a obligaciones de ciberseguridad, y prevé recursos y sanciones para garantizar su cumplimiento.
La directiva creará formalmente la Red Europea de Organización de Enlace para Cibercrisis, EU-CyCLONe, que apoyará la gestión coordinada de incidentes de ciberseguridad a gran escala.
Ampliación del ámbito de aplicación de las normas
Mientras que con la antigua directiva NIS los Estados miembros eran responsables de determinar qué entidades cumplirían los criterios para ser consideradas operadores de servicios esenciales, la nueva directiva NIS2 introduce una norma de tamaño máximo. Esto significa que todas las entidades medianas y grandes que operen en los sectores o presten servicios cubiertos por la directiva entrarán en su ámbito de aplicación.
Si bien el acuerdo entre el Parlamento Europeo y el Consejo mantiene esta norma general, el texto acordado provisionalmente incluye disposiciones adicionales para garantizar la proporcionalidad, un mayor nivel de gestión del riesgo y criterios de criticidad bien definidos para determinar las entidades cubiertas.
El texto también aclara que la directiva no se aplicará a entidades que realicen actividades en ámbitos como la defensa o la seguridad nacional, la seguridad pública, la aplicación de la ley y el poder judicial. Los parlamentos y los bancos centrales también quedan excluidos del ámbito de aplicación.
Dado que las administraciones públicas también suelen ser blanco de ciberataques, la NIS2 se aplicará a las entidades de la administración pública a nivel central y regional. Además, los Estados miembros podrán decidir que se aplique también a dichas entidades a nivel local.
Otros cambios introducidos por los colegisladores
El Parlamento Europeo y el Consejo han alineado el texto con la legislación sectorial, en particular el Reglamento sobre la resistencia operativa digital del sector financiero (DORA) y la Directiva sobre la resistencia de las entidades críticas (CER), para aportar claridad jurídica y garantizar la coherencia entre la NIS2 y estos actos.
Un mecanismo voluntario de aprendizaje entre iguales aumentará la confianza mutua y el aprendizaje de buenas prácticas y experiencias, contribuyendo así a alcanzar un alto nivel común de ciberseguridad.
Los dos colegisladores también han racionalizado las obligaciones de información para evitar un exceso de notificación y crear una carga excesiva para las entidades cubiertas.
Los Estados miembros dispondrán de 21 meses a partir de la entrada en vigor de la Directiva para incorporar las disposiciones a su legislación nacional.
Próximos pasos
El acuerdo provisional celebrado hoy está ahora sujeto a la aprobación del Consejo y del Parlamento Europeo.
Por parte del Consejo, la Presidencia francesa tiene la intención de presentar próximamente el acuerdo al Comité de Representantes Permanentes del Consejo para su aprobación.
Una Directiva revisada sobre la seguridad de las redes y los sistemas de información (Directiva NIS 2).
16.12.2020 – La Comisión Europea ha adoptado una propuesta de Directiva revisada sobre la seguridad de las redes y los sistemas de información (Directiva NIS 2).
A pesar de sus notables logros, la Directiva sobre la seguridad de las redes y los sistemas de información (Directiva NIS), también ha demostrado a estas alturas sus limitaciones. La transformación digital de la sociedad (intensificada por la crisis COVID-19) ha ampliado el panorama de las amenazas y está planteando nuevos retos, que requieren respuestas adaptadas e innovadoras.
En la actualidad, cualquier perturbación, aunque inicialmente se limite a una entidad o un sector, puede tener efectos en cascada más amplios, con posibles repercusiones negativas duraderas y de gran alcance en la prestación de servicios en todo el mercado interior.
Nueva propuesta legislativa
Para hacer frente a estos retos, tal como se anunció en la Comunicación sobre la configuración del futuro digital de Europa, la Comisión aceleró la revisión de la Directiva hasta finales de 2020, llevó a cabo una evaluación de impacto y presentó una nueva propuesta legislativa.
Esta propuesta forma parte de un paquete de medidas para mejorar aún más la resistencia y la capacidad de respuesta ante incidentes de las entidades públicas y privadas, las autoridades competentes y la Unión en su conjunto en el ámbito de la ciberseguridad y la protección de las infraestructuras críticas. Está en consonancia con las prioridades de la Comisión de preparar a Europa para la era digital y construir una economía preparada para el futuro que trabaje para los ciudadanos.
La ciberseguridad es una prioridad
La ciberseguridad es una prioridad en la respuesta de la Comisión a la crisis de COVID-19. El paquete incluye una nueva Estrategia de Ciberseguridad con el objetivo de reforzar la autonomía estratégica de la Unión para mejorar su resiliencia y respuesta colectiva y construir una Internet abierta y global. Por último, el paquete contiene una propuesta de Directiva sobre la resiliencia de los operadores críticos de servicios esenciales, cuyo objetivo es mitigar las amenazas físicas contra dichos operadores.
Esta propuesta se basa en la Directiva (UE) 2016/1148 sobre la seguridad de las redes y sistemas de información (Directiva SRI) y la deroga, que es el primer acto legislativo a escala de la UE sobre ciberseguridad y establece medidas legales para impulsar el nivel general de ciberseguridad en la Unión. La Directiva NIS ha:
(1) contribuido a mejorar las capacidades de ciberseguridad a nivel nacional al exigir a los Estados miembros que adopten estrategias nacionales de ciberseguridad y designen autoridades de ciberseguridad;
(2) ha aumentado la cooperación entre los Estados miembros a nivel de la Unión mediante la creación de diversos foros que facilitan el intercambio de información estratégica y operativa; y
(3) ha mejorado la ciberresiliencia de las entidades públicas y privadas en siete sectores específicos (energía, transporte, banca, infraestructuras de los mercados financieros, asistencia sanitaria, suministro y distribución de agua potable e infraestructuras digitales) y en tres servicios digitales (mercados en línea, motores de búsqueda en línea y servicios de computación en nube), exigiendo a los Estados miembros que garanticen que los operadores de servicios esenciales y los proveedores de servicios digitales establezcan requisitos de ciberseguridad y notifiquen los incidentes.
Nuevo marco jurídico
La propuesta moderniza el marco jurídico existente teniendo en cuenta la creciente digitalización del mercado interior en los últimos años y la evolución del panorama de las amenazas a la ciberseguridad. Ambas evoluciones se han acentuado aún más desde el inicio de la crisis de COVID-19. La propuesta también aborda varias deficiencias que impedían a la Directiva SRI aprovechar todo su potencial.
A pesar de sus notables logros, la Directiva SRI, que allanó el camino para un cambio significativo de mentalidad, en relación con el enfoque institucional y normativo de la ciberseguridad en muchos Estados miembros, también ha demostrado sus limitaciones. La transformación digital de la sociedad (intensificada por la crisis de COVID-19) ha ampliado el panorama de las amenazas y está planteando nuevos retos que requieren respuestas adaptadas e innovadoras. El número de ciberataques sigue aumentando, con ataques cada vez más sofisticados procedentes de una amplia gama de fuentes dentro y fuera de la UE.
Los problemas identificados en la UE
La evaluación del funcionamiento de la Directiva SRI, realizada a efectos de la evaluación de impacto, puso de manifiesto los siguientes problemas:
(1) el bajo nivel de ciberresiliencia de las empresas que operan en la UE;
(2) la inconsistencia de la resistencia entre Estados miembros y sectores; y
(3) el bajo nivel de conocimiento conjunto de la situación y la falta de respuesta conjunta a las crisis. Por ejemplo, algunos grandes hospitales de un Estado miembro no entran en el ámbito de aplicación de la Directiva SRI y, por tanto, no están obligados a aplicar las medidas de seguridad resultantes, mientras que en otro Estado miembro casi todos los proveedores de asistencia sanitaria del país están cubiertos por los requisitos de seguridad de la SRI.
Al tratarse de una iniciativa enmarcada en el Programa de Adecuación de la Reglamentación (REFIT), la propuesta pretende reducir la carga reglamentaria para las autoridades competentes y los costes de cumplimiento para las entidades públicas y privadas. En particular, esto se consigue suprimiendo la obligación de las autoridades competentes de identificar a los operadores de servicios esenciales y aumentando el nivel de armonización de los requisitos de seguridad e información para facilitar el cumplimiento de la normativa a las entidades que prestan servicios transfronterizos. Al mismo tiempo, las autoridades competentes también recibirán una serie de nuevas tareas, incluida la supervisión de entidades en sectores hasta ahora no cubiertos por la Directiva SRI.
16.12.2020
La Propuesta de Directiva relativa a medidas para un elevado nivel común de ciberseguridad en toda la Unión, por la que se deroga la Directiva (UE) 2016/1148
16.12.2020
Anexos de la Propuesta de Directiva sobre medidas para un nivel elevado común de ciberseguridad en toda la Unión, por la que se deroga la Directiva (UE) 2016/1148
La Directiva NIS 2, Parlamento Europeo, Un alto nivel común de ciberseguridad en la UE
Consejo Europeo – Reforzar la ciberseguridad y la resistencia en toda la UE.
La NIS 2 sentará las bases para las medidas de gestión de riesgos de ciberseguridad y las obligaciones de información en todos los sectores cubiertos por la Directiva, como la energía, el transporte, la sanidad y las infraestructuras digitales.
La Directiva revisada pretende eliminar las divergencias en los requisitos de ciberseguridad y en la aplicación de las medidas de ciberseguridad en los distintos Estados miembros. Para lograrlo, establece normas mínimas para un marco regulador y establece mecanismos para una cooperación eficaz entre las autoridades pertinentes de cada Estado miembro. Actualiza la lista de sectores y actividades sujetos a obligaciones de ciberseguridad, y prevé recursos y sanciones para garantizar su cumplimiento.
EU-CyCLONe
La directiva creará formalmente la Red Europea de Organización de Enlace para Cibercrisis, EU-CyCLONe, que apoyará la gestión coordinada de incidentes de ciberseguridad a gran escala.
Mientras que con la antigua directiva NIS los Estados miembros eran responsables de determinar qué entidades cumplían los criterios para ser consideradas operadores de servicios esenciales, la nueva directiva NIS2 introduce una norma de tamaño máximo. Esto significa que todas las entidades medianas y grandes que operen en los sectores o presten servicios cubiertos por la directiva entrarán en su ámbito de aplicación.
Si bien la posición del Consejo mantiene esta norma general, incluye disposiciones adicionales para garantizar la proporcionalidad, un mayor nivel de gestión de riesgos y criterios claros de criticidad para determinar las entidades cubiertas.
El texto del Consejo también aclara que la directiva no se aplicará a las entidades que realicen actividades en ámbitos como la defensa o la seguridad nacional, la seguridad pública, la aplicación de la ley y el poder judicial. Los parlamentos y los bancos centrales también quedan excluidos del ámbito de aplicación.
Administraciones públicas
Dado que las administraciones públicas también suelen ser blanco de ciberataques, la NIS2 se aplicará a las entidades de la administración pública de los gobiernos centrales. Además, los Estados miembros podrán decidir que se aplique también a dichas entidades a nivel regional y local.
La primera Directiva SRI, principales elementos.
La Directiva SRI establece medidas legales para impulsar el nivel general de ciberseguridad en la UE, con el fin de contribuir al funcionamiento general del mercado interior. Se basa en 3 pilares principales:
- Para lograr un alto nivel de preparación de los Estados miembros, la Directiva NIS exige a los Estados miembros que adopten una estrategia nacional sobre la seguridad de las redes y los sistemas de información. También se exige a los Estados miembros que designen equipos nacionales de respuesta a incidentes de seguridad informática (CSIRT), responsables de la gestión de riesgos e incidentes, una autoridad nacional competente en materia de SRI y un punto de contacto único (SPOC). El SPOC tiene que ejercer una función de enlace para garantizar la cooperación transfronteriza entre las autoridades de los Estados miembros con las autoridades competentes de otros Estados miembros y con el Grupo de Cooperación SRI.
- La Directiva NIS establece el Grupo de Cooperación NIS para apoyar y facilitar la cooperación estratégica y el intercambio de información entre los Estados miembros, y la Red CSIRTs, que promueve la cooperación operativa rápida y eficaz entre los CSIRTs nacionales.
- La Directiva NIS garantiza la adopción de medidas de ciberseguridad en siete sectores vitales para nuestra economía y nuestra sociedad y que dependen en gran medida de las TIC, como la energía, el transporte, la banca, las infraestructuras de los mercados financieros, el agua potable, la asistencia sanitaria y las infraestructuras digitales.
Operadores de servicios esenciales (OES)
Las entidades públicas y privadas identificadas por los Estados miembros como operadores de servicios esenciales (OES) en estos sectores están obligadas a realizar una evaluación de riesgos de ciberseguridad e implantar medidas de seguridad adecuadas y proporcionadas. Deben notificar los incidentes graves a las autoridades competentes. Y los proveedores de servicios digitales clave, como los motores de búsqueda, los servicios de computación en nube y los mercados en línea, tienen que cumplir los requisitos de seguridad y notificación de la Directiva. Al mismo tiempo, estos últimos están sujetos a un régimen regulador denominado «light-touch», que implica, entre otras medidas, que están bajo la jurisdicción de un Estado miembro para toda la UE y no están sujetos a medidas de supervisión «ex ante».
La nueva Directiva NIS 2, principales elementos
La nueva propuesta de la Comisión pretende subsanar las deficiencias de la anterior Directiva SRI, adaptarla a las necesidades actuales y prepararla para el futuro.
Para ello, la propuesta de la Comisión amplía el ámbito de aplicación de la actual Directiva SRI añadiendo nuevos sectores en función de su importancia para la economía y la sociedad, e introduciendo un límite de tamaño claro, lo que significa que todas las empresas medianas y grandes de los sectores seleccionados quedarán incluidas en el ámbito de aplicación. Al mismo tiempo, deja cierta flexibilidad a los Estados miembros para identificar entidades más pequeñas con un perfil de alto riesgo para la seguridad.
La propuesta también elimina la distinción entre operadores de servicios esenciales y proveedores de servicios digitales. Las entidades se clasificarían en función de su importancia y se dividirían en categorías esenciales e importantes, que estarán sujetas a regímenes de supervisión diferentes.
Gestión de riesgos
La propuesta refuerza y racionaliza los requisitos de seguridad e información de las empresas imponiendo un enfoque de gestión de riesgos, que establece una lista mínima de elementos básicos de seguridad que deben aplicarse. La propuesta introduce disposiciones más precisas sobre el proceso de notificación de incidentes, el contenido de los informes y los plazos.
Seguridad de las cadenas de suministro
Además, la Comisión propone abordar la seguridad de las cadenas de suministro y las relaciones con los proveedores exigiendo a las empresas individuales que aborden los riesgos de ciberseguridad en las cadenas de suministro y las relaciones con los proveedores.
Una escala Europea
A escala europea, la propuesta refuerza la ciberseguridad de la cadena de suministro para las tecnologías clave de la información y la comunicación. Los Estados miembros, en cooperación con la Comisión y la ENISA, podrán llevar a cabo evaluaciones de riesgo coordinadas de las cadenas de suministro críticas, basándose en el enfoque adoptado con éxito en el contexto de la Recomendación de la Comisión sobre la ciberseguridad de las redes 5G.
Armonización de los regímenes de sanciones
La propuesta introduce medidas de supervisión más estrictas para las autoridades nacionales. Establece requisitos de aplicación más estrictos y pretende armonizar los regímenes de sanciones en todos los Estados miembros.
Cooperación – NIS 2
La propuesta también refuerza el papel del Grupo de Cooperación en la toma de decisiones políticas estratégicas y aumenta el intercambio de información y la cooperación entre las autoridades de los Estados miembros. También refuerza la cooperación operativa, incluida la gestión de crisis cibernéticas.
La propuesta de la Comisión también establece un marco básico con actores clave responsables sobre la divulgación coordinada de vulnerabilidades recién descubiertas en toda la UE y crea un registro de la UE en este ámbito, gestionado por la Agencia Europea de Ciberseguridad (ENISA).
Q&A – Preguntas y respuestas
¿Qué es la directiva NIS2?
La Directiva NIS 2 (Directiva (UE) 2022/2555) es un acto legislativo para alcanzar un alto nivel común de ciberseguridad en toda la Unión Europea. NIS2, o la Directiva NIS 2 sobre Seguridad de las Redes y los Sistemas Informáticos, es una actualización de la anterior Directiva NIS.
¿Cuándo entra en vigor la Directiva NIS 2?
¿Cuándo entró en vigor la NIS2 y cuando se aplicará en España? La Directiva NIS 2 fue aprobada formalmente en noviembre de 2022, publicándose en el Diario Oficial de la UE (DOUE) el 27 de diciembre de 2022. Entró en vigor el 16 de enero de 2023, 20 días después de su publicación en el DOUE.
¿Qué sectores se encuentran bajo la Directiva NIS2?
La Directiva NIS 2 clasifica los sectores de aplicación en dos categorías principales: «Sectores de Alta Criticidad o esenciales» y «Otros sectores críticos o importantes». En total, la Directiva abarca 18 sectores específicos, de los cuales 11 se consideran de alta criticidad y los 7 restantes pertenecen a otros sectores críticos. Además, la Directiva NIS 2 subdivide algunos de estos sectores en subcategorías específicas, lo que facilita su identificación por parte de las entidades involucradas.
¿Cuáles son los SECTORES DE ALTA CRITICIDAD?
Dentro de los sectores abarcados por la Directiva NIS 2, se consideran esenciales aquellos que son críticos para el funcionamiento continuo de la sociedad y la economía, así como para la seguridad nacional. Estos sectores esenciales incluyen:
– Energía
– Transporte
– Banca
– Infraestructuras financieras (Infraestructuras de los mercados financieros)
– Sector sanitario
– Suministro de agua potable
– Aguas residuales
– Servicios digitales (Infraestructura digital)
– Gestión de servicios de TIC (de empresa a empresa)
– Entidades de la Administración pública, con exclusión del poder judicial, los parlamentos y los bancos centrales
– Espacio
¿Cuáles son los OTROS SECTORES CRÍTICOS?
Los otros sectores críticos, distintos de los sectores de alta criticidad, que también abarca la Directiva NIS 2 son:
– Servicios postales y de mensajería
– Gestión de residuos
– Fabricación, producción y distribución de sustancias y mezclas químicas
– Producción, transformación y distribución de alimentos
– Fabricación
¿En la NIS 2, cuáles son los subsectores del sector esencial; Energía?
A) Subsector Electricidad
— Empresas eléctricas, tal como se definen en el artículo 2, punto 57, de la Directiva (UE) 2019/944 del Parlamento Europeo y del Consejo, que efectúan la función de «suministro», tal como se define en el artículo 2, punto 12, de dicha Directiva.
— Gestores de la red de distribución, tal como se definen en el artículo 2, punto 29, de la Directiva (UE) 2019/944.
— Gestores de la red de transporte, tal como se definen en el artículo 2, punto 35, de la Directiva (UE) 2019/944.
— Productores, tal como se definen en el artículo 2, punto 38, de la Directiva (UE) 2019/944.
— Operadores designados para el mercado eléctrico, tal como se definen en el artículo 2, punto 8, del Reglamento (UE) 2019/943 del Parlamento Europeo y del Consejo.
— Participantes en el mercado de la electricidad, tal como se definen en el artículo 2, punto 25, del Reglamento (UE) 2019/943 que presten servicios de agregación, respuesta de demanda o almacenamiento de energía, tal como se define en el artículo 2, puntos 18, 20 y 59, de la Directiva (UE) 2019/944.
— Operadores de un punto de recarga que sean responsable de la gestión y explotación de un punto de recarga, que presta un servicio de recarga al usuario final también en nombre y por cuenta de un proveedor de servicios de movilidad.
B) Subsector Sistemas urbanos de calefacción y de refrigeración
— Operadores de sistemas urbanos de calefacción o de refrigeración, tal como se definen en el artículo 2, punto 19, de la Directiva (UE) 2018/2001 del Parlamento Europeo y del Consejo.
C) Subsector Crudo
— Operadores de oleoductos de transporte de crudo.
— Operadores de producción de crudo, instalaciones de refinado y tratamiento, almacenamiento y transporte.
— Entidades centrales de almacenamiento, tal como se definen en el artículo 2, letra f), de la Directiva 2009/119/CE del Consejo.
D) Subsector Gas
— Empresas suministradoras de gas, tal como se definen en el artículo 2, punto 8, de la Directiva 2009/73/CE del Parlamento Europeo y del Consejo.
— Gestores de la red de distribución, tal como se definen en el artículo 2, punto 6, de la Directiva 2009/73/CE.
— Los gestores de la red de transporte, tal como se definen en el artículo 2, punto 4, de la Directiva (UE) 2009/73/CE.
— Gestores de almacenamientos, tal como se definen en el artículo 2, punto 10, de la Directiva 2009/73/CE.
— Gestores de la red de GNL, tal como se definen en el artículo 2, punto 12, de la Directiva 2009/73/CE.
— Compañías de gas natural, tal como se definen en el artículo 2, punto 1, de la Directiva 2009/73/CE.
— Operadores de instalaciones de refinado y tratamiento de gas natural.
E) Hidrógeno
— Operadores de producción, almacenamiento y transporte de hidrógeno.
¿En la NIS 2, cuáles son los subsectores del sector esencial; Transporte?
A) Transporte aéreo
— Compañías aéreas, tal como se definen en el artículo 3, punto 4, del Reglamento (CE) n.o 300/2008 utilizadas con fines comerciales.
— Entidades gestoras de aeropuertos, tal como se definen en el artículo 2, punto 2, de la Directiva 2009/12/CE del Parlamento Europeo y del Consejo; aeropuertos, tal como se definen en el artículo 2, punto 1, de dicha Directiva, en particular los aeropuertos de la red básica enumerados en el anexo II, sección 2, del Reglamento (UE) n.o 1315/2013 del Parlamento Europeo y del Consejo (7); y entidades
que explotan instalaciones anexas dentro de los recintos de los aeropuertos.
— Operadores de control de la gestión del tráfico que prestan servicios de control del tránsito aéreo, tal como se definen en el artículo 2, punto 1, del Reglamento (CE) n.o 549/2004 del Parlamento Europeo y del Consejo.
B) Transporte por ferrocarril
— Administradores de infraestructuras, tal como se definen en el artículo 3, punto 2, de la Directiva 2012/34/UE del Parlamento Europeo y del Consejo.
— Empresas ferroviarias, tal como se definen en el artículo 3, punto 1, de la Directiva 2012/34/UE, incluidos los explotadores de instalaciones de servicio, tal como se definen en el artículo 3, punto 12 de dicha Directiva.
C) Transporte marítimoy fluvial
— Empresas de transporte marítimo, fluvial y de cabotaje, tanto de pasajeros como de mercancías, tal como se definen para el transporte marítimo en el anexo I del Reglamento (CE) n.o 725/2004 del Parlamento Europeo y del Consejo (10), sin incluir los buques particulares explotados por esas empresas.
— Organismos gestores de los puertos, tal como se definen en el artículo 3, punto 1, de la Directiva 2005/65/CE del Parlamento Europeo y del Consejo (11), incluidas sus instalaciones portuarias, tal como se definen en el artículo 2, punto 11, del Reglamento (CE) n.o 725/2004, y entidades que operan obras y equipos que se encuentran en los puertos.
— Operadores de servicios de tráfico de buques (STB), tal como se definen en el artículo 3, letra o), de la Directiva 2002/59/CE del Parlamento Europeo y del Consejo.
D) Transporte por carretera
— Autoridades viarias, tal como se definen en el artículo 2, punto 12, del Reglamento Delegado (UE) 2015/962 de la Comisión (13) responsables del control de la gestión del tráfico, excluidas las entidades públicas para las cuales la gestión del tráfico o la explotación de sistemas de transporte inteligentes sea una parte no esencial de su actividad general.
— Operadores de sistemas de transporte inteligentes, tal como se definen en el artículo 4, punto 1, de la Directiva 2010/40/UE del Parlamento Europeo y del Consejo.
¿En la NIS 2, cuáles son los subsectores del sector esencial; Banca?
Entidades de crédito, tal como se definen en el artículo 4, punto 1, del Reglamento (UE) n.o 575/2013 del Parlamento Europeo y del Consejo.
¿En la NIS 2, cuáles son los subsectores del sector esencial; Infraestructuras de los mercados financieros?
— Gestores de centros de negociación, tal como se definen en el artículo 4, punto 24, de la Directiva 2014/65/UE del Parlamento Europeo y del Consejo.
— Entidades de contrapartida central (ECC), tal como se definen en el artículo 2, punto 1, del Reglamento (UE) n.o 648/2012 del Parlamento Europeo y del Consejo.
¿En la NIS 2, cuáles son los subsectores del sector esencial; Sector sanitario?
— Prestadores de asistencia sanitaria, tal como se definen en el artículo 3, letra g), de la Directiva 2011/24/UE del Parlamento Europeo y del Consejo.
— Laboratorios de referencia de la UE, tal como se definen en el artículo 15, del Reglamento (UE) del Parlamento Europeo y del Consejo.
— Las entidades que realizan actividades de investigación y desarrollo de medicamentos, tal como se definen en el artículo 1, punto 2, de la Directiva 2001/83/CE del Parlamento Europeo y del Consejo.
— Entidades que fabrican productos farmacéuticos de base y especialidades farmacéuticas a que se refiere la sección C, división 21, de la NACE Rev. 2.
— Entidades que fabrican productos sanitarios que se consideran esenciales en situaciones de emergencia de salud pública («lista de productos sanitarios esenciales durante la emergencia de salud pública») en el sentido del artículo 22 del Reglamento (UE) 2022/123 del Parlamento Europeo y del Consejo.
¿En la NIS 2, cuáles son los subsectores del sector esencial; Agua potable?
Suministradores y distribuidores de aguas destinadas al consumo humano, tal como se definen en el artículo 2, punto 1, letra a), de la Directiva (UE) 2020/2184 del Parlamento Europeo y del Consejo (22), excluidos los distribuidores para los que la distribución de aguas destinadas al consumo humano sea una parte no esencial de su actividad general de distribución de otros bienes y productos básicos.
¿En la NIS 2, cuáles son los subsectores del sector esencial; Aguas residuales?
Empresas dedicadas a la recogida, la eliminación o el tratamiento de aguas residuales urbanas, domésticas o industriales, tal como se definen en el artículo 2, puntos 1 a 3, de la Directiva 91/271/CEE del Consejo (23), excluidas las empresas para las que la recogida, la eliminación o el tratamiento de aguas residuales urbanas, domésticas o industriales sea una parte no esencial de su actividad general.
¿En la NIS 2, cuáles son los subsectores del sector esencial; Infraestructura digital?
a) Proveedores de puntos de intercambio de internet.
b) Proveedores de servicios de DNS, excluidos los operadores de servidores raíz.
c) Registros de nombres de dominio de primer nivel.
d) Proveedores de servicios de computación en nube.
e) Proveedores de servicios de centro de datos.
f) Proveedores de redes de distribución de contenidos.
g) Prestadores de servicios de confianza.
h) Proveedores de redes públicas de comunicaciones electrónicas.
i) Proveedores de servicios de comunicaciones electrónicas disponibles para el público.
¿En la NIS 2, cuáles son los subsectores del sector esencial; Gestión de servicios de TIC (de empresa a empresa)?
— Proveedores de servicios gestionados.
— Proveedores de servicios de seguridad gestionados.
¿En la NIS 2, cuáles son los subsectores del sector esencial; Entidades de la Administración pública,
con exclusión del poder judicial, los parlamentos y los bancos centrales?
– Entidades de la Administración pública central, tal como se definen en el Estado miembro con arreglo a las disposiciones del Derecho nacional.
– Entidades de la Administración pública a escala regional, según su definición en el Estado miembro con arreglo a las disposiciones del Derecho nacional.
¿En la NIS 2, cuáles son los subsectores del sector esencial; Espacio?
Operadores de infraestructuras terrestres, cuya propiedad, gestión y explotación descansa en los Estados miembros o en entidades privadas, que apoyan la prestación de servicios espaciales, excepto los proveedores de redes públicas de comunicaciones electrónicas.
¿Están las empresas preparadas para la la directiva NIS 2?
En la siguiente publicación hablamos de una forma resumida sobre la NIS 2 para que puedas verificar holísticamente, si tu empresa está prepara y alineada con los requisitos de la NIS 2.
