Diseñada para aumentar la resistencia colectiva de las infraestructuras críticas en Europa mediante la aplicación de una serie de requisitos de ciberseguridad, la nueva directiva NIS2 entrará en vigor en octubre del año que viene.
Network and Information Security (NIS 2)
En enero de 2023 entra en vigor la directiva de Seguridad de Redes y Sistemas de Información (NIS 2), también conocida como Network and Information Security (NIS 2), que los estados miembros tendrán que transponer a la legislación local antes de octubre de 2024, una evolución de la NIS publicada en 2016 y en vigor a través de la Ley 65/2021.
Como consecuencia del aumento de los ciberataques y su impacto en la UE desde que se introdujo la primera directiva NIS, se ha detectado la necesidad de mejorar las medidas de ciberseguridad. El objetivo de la NIS 2 es garantizar un alto nivel común de ciberseguridad para los servicios críticos, esenciales e importantes en todos los Estados miembros de la UE.
La directiva NIS2 podría suponer un reto importante para las empresas, especialmente para las que operan en sectores con infraestructuras críticas.
En PlisQ evaluamos la preparación de las empresas en la alineación de la seguridad OT e IoT con la nueva directiva y hacemos hincapié en que es necesario poner especial énfasis en la gestión de riesgos más allá de TI para incluir la tecnología operativa (OT).
Juntas, las perspectivas para controlar la ciberseguridad de OT e IoT tienen cada vez más espacio para crecer en términos de responsabilidad, formación, concienciación y acción.
Diseñada para aumentar la resiliencia colectiva de las infraestructuras críticas en Europa mediante la aplicación de un conjunto de requisitos de seguridad exhaustivos, la nueva legislación entra en vigor en octubre del próximo año. La NIS2 no aborda explícitamente los activos y redes OT e IoT, pero los incluye implícitamente en sus numerosos requisitos.
La directiva sobre ciberseguridad recibió luz verde del Consejo Europeo a finales del año pasado, en lo que fue el último paso del proceso legislativo en la Unión Europea, lo que supuso su adopción para sustituir a la actual directiva sobre seguridad de las redes y sistemas de información (NIS).
La NIS2 establece los principios de la gestión de la seguridad informática y las obligaciones de notificación de incidentes en varios sectores enumerados como pertinentes, entre ellos la energía, el transporte, la sanidad y las infraestructuras digitales, pero amplía el número de organizaciones cubiertas. También pretende armonizar los requisitos y la aplicación de medidas de seguridad informática en los distintos Estados miembros.
Una de las medidas es la creación formal de la Red Europea de Organización de Enlace para Cibercrisis, EU-CyCLONE, que apoya la coordinación y gestión de incidentes y crisis de seguridad informática a gran escala.
Esta directiva introduce nuevos ámbitos y enfoques:
- Implica a más sectores de la economía y la sociedad.
- Aumenta el nivel de armonización en relación con los requisitos de seguridad y las obligaciones de información a las autoridades competentes.
- Anima a los Estados miembros de la UE a introducir nuevas áreas en sus estrategias nacionales de ciberseguridad, como la cadena de suministro de las TIC, la gestión de la vulnerabilidad, el servicio de base de Internet y la ciberhigiene.
- Mejora la colaboración y el intercambio de conocimientos entre los Estados miembros, por ejemplo mediante revisiones inter pares.
- Crea una nueva estructura para la gestión de crisis cibernéticas (CyCLONE).
También cubre más entidades – críticas, esenciales e importantes, a saber:
Energía, Transporte, Banca, Infraestructura de los Mercados Financieros, Salud, Agua Potable, Aguas Residuales, Infraestructura Digital, Gestión de Servicios TIC (B2B), Administración Pública, Espacio
Servicios postales y de mensajería, Gestión de residuos, Producción, transformación y distribución de productos químicos, Producción, transformación y distribución de alimentos, Industria manufacturera, Proveedores de servicios digitales e Investigación.
Las organizaciones cubiertas por la directiva NIS 2 deben tener en cuenta los siguientes requisitos como recomendación mínima:
- Modelo de Gobernanza y Gestión de Riesgos.
- Políticas de seguridad y formación.
- Gestión y notificación de incidentes.
- Gestión de Crisis y Continuidad de Negocio.
- Gestión de riesgos de las TIC en la cadena de suministro (productos, sistemas y servicios).
- Gestión de activos.
- Seguridad por diseño.
- Gestión de accesos y comunicaciones seguras.
La mayoría de las organizaciones críticas, esenciales e importantes ya aplican al menos algunas de estas medidas. La cuestión principal es qué nivel de detalle aplicará España a través de la transposición a la legislación nacional.
La directiva subraya que la aplicación de estas medidas debe tener en cuenta normas europeas e internacionales como: coste de aplicación, grado de exposición a los riesgos, tamaño de la entidad, probabilidad de que se produzcan incidentes y su gravedad, impacto social y económico. Estos factores deben tenerse en cuenta a la hora de determinar las medidas adecuadas y proporcionadas que deben adoptarse.
También se ha definido que el tamaño de la organización en sí mismo no es un factor de exclusión, en función de la importancia que represente en la sociedad.
Las empresas que incumplan la directiva NIS2 podrán ser sancionadas con multas de hasta 10 millones de euros o el 2% de su facturación anual total.
Hay que tener en cuenta que la NIS 2 acaba de ponerse en marcha, y su eficacia dependerá de lo que se haga de aquí a octubre de 2024. Sin embargo, hay que tener en cuenta que las ciberamenazas que dieron lugar a esta directiva seguirán evolucionando y también surgirán nuevos riesgos.
Hay que tener en cuenta que el sector financiero también cuenta con una normativa que acaba de entrar en vigor, la DORA (Digital Resilience Operational Act), que repercute en varias industrias también implicadas aquí y que es la lexis specialis de la NIS 2.
Por lo tanto, independientemente de la redacción final que resulte de la transposición local de la Directiva NIS 2, las organizaciones deberían empezar a alinearse con los requisitos de la Ley 65/2021 (transposición de la Directiva NIS 1) y, a continuación, empezar a prepararse para los requisitos de la NIS 2.
