NIS2, publicada la Directiva relativa a medidas de ciberseguridad

La Directiva NIS2, Directiva (UE) 2022/2555 (correspondiente con las siglas de Network and Information Security), establece un marco de seguridad de la información para garantizar la protección de los sistemas y las redes de información en la Unión Europea, con el fin de prevenir ataques y garantizar la continuidad de los servicios.

La Directiva establece obligaciones de ciberseguridad para los Estados miembros, medidas para la gestión de riesgos de ciberseguridad y obligaciones de notificación para las entidades en su ámbito de aplicación, obligaciones relativas al intercambio de información sobre ciberseguridad, así como obligaciones de supervisión y ejecución para los Estados miembros. Esta Directiva requerirá una actualización de la normativa española, en el Real Decreto Ley 12/2018, y en el Real Decreto de desarrollo 43/2021.

La Directiva NIS-2 será de obligado cumplimiento para empresas de más de 250 empleados y con un volumen de facturación anual de 50 millones de euros en adelante. Al mismo tiempo, también estarán obligados a su cumplimiento los operadores que presten servicios esenciales y los proveedores de servicios digitales que operan en la Unión Europea. Estos servicios incluyen, entre otros, servicios energéticos, transporte, salud, banca y finanzas, y servicios de telecomunicaciones.

Es de aplicación tanto para la administración como para las medianas y grandes empresas de ciertos sectores, como pueden ser la gestión de residuos, las industrias química, farmacéutica y alimentaria, la fabricación de maquinaria pesada, los servicios postales, vehículos, etc.

Además, también se aplica a empresas que procesan grandes cantidades de datos personales, tales como proveedores de servicios de alojamiento en la nube.

La versión segunda de la directiva excluye del ámbito de aplicación la defensa o seguridad nacional, la seguridad pública, policía, poder judicial o los parlamentos y bancos centrales.

La directiva promueve la cooperación y la coordinación entre los países de la UE en materia de seguridad de la información, lo que permite una respuesta más efectiva y una mejor preparación ante posibles incidentes cibernéticos.

La nueva directiva NIS 2 requiere que los Estados miembros:

• Adopten estrategias de ciberseguridad
• Designen o establezcan autoridades competentes,
• Denominen autoridades de gestión de crisis de ciberseguridad,
• Indiquen puntos de contacto únicos sobre ciberseguridad
• Formen equipos de respuesta a incidentes de seguridad informática (CSIRT, por sus siglas en inglés: “Computer Security Incident Response Team”).

Específicamente, se ha creado la Red Europea de Organización de Enlace de Crisis Cibernéticas (EU-CYCLONe) para mejorar la coordinación en la gestión de ciberseguridad a gran escala.

Adicionalmente, la Agencia de la Unión Europea para la Ciberseguridad (ENISA) tendrá un papel más relevante al tener la responsabilidad de promocionar entre los estados y las autoridades competentes los requisitos y formas de actuar para la prevención, detección y respuesta ante los ciberataques.

Se trata de la versión segunda de la directiva, una mejora de la versión primera que se ha visto derogada: Directiva (UE) 2016/1148.

Aparte de ampliaciones en el alcance y mejora de la coordinación y la cooperación, como se ha reflejado anteriormente, las mejoras o novedades principales respecto a la primera versión incluyen:

• Sanciones más severas para aquellos que incumplen sus obligaciones, incluyendo multas significativas y sanciones administrativas. Las amonestaciones, instrucciones y multas podrían ser de hasta dos millones de euros e incluso llegar a suponer el 2% de los ingresos anuales de la organización.
• Responsabilidad de los directivos de las empresas. Se establece la obligación de que los órganos de dirección aprueben y supervisen la puesta en práctica de medidas técnicas, operativas y de organización, pero también para prevenir y minimizar el impacto de los incidentes en caso de producirse.
• Nuevos requisitos de seguridad. Se añaden nuevas obligaciones como pudieran ser el uso de cifrado de extremo a extremo o la asistencia a formaciones a los miembros de dirección de las entidades esenciales, así como formaciones similares a sus empleados de forma periódica. Se impone la privacidad por defecto y desde diseño, la gestión de crisis, la certificación de sus servicios, productos y/o sistemas bajo esquemas europeos de certificación de la ciberseguridad, o el tratamiento y divulgación de vulnerabilidades.
• Refuerzo de la seguridad de las cadenas de suministro, así como las relaciones con los proveedores. Para ello, en caso de tratarse de operadores críticos, se permite a las empresas exigir a sus proveedores el cumplimiento de la normativa.
• Informe de incidentes obligatorio: Al igual que dicta el RGPD, la Directiva NIS2 requiere a los operadores de servicios esenciales y a los proveedores de servicios digitales que informen sobre ciertos tipos de incidentes graves a las autoridades relevantes en un plazo de 72 horas. Asimismo, se recoge la obligación de notificar a sus CSIRT de referencia sin demora indebida, incidentes de seguridad que tengan un impacto significativo.
• Integración plena con normativa sectorial, como puede ser la Directiva para la Resiliencia Operativa Digital para el sector financiero (DORA) y la Directiva de Resiliencia de Entidades Críticas (CER).

La Directiva entró en vigor el 27 de diciembre de 2022 tras su publicación en el Diario Oficial de la Unión Europea. No obstante, los estados miembros tienen hasta el 17 de octubre de 2024 para realizar la transposición y adoptar y publicar las medidas necesarias para dar cumplimiento a lo establecido en la directiva.

La Directiva NIS2 es un paso importante para garantizar una mayor seguridad en la era digital y para proteger los intereses de la UE en materia de seguridad de la información. Se espera que su implementación en las organizaciones continúe mejorando la seguridad de los sistemas y redes de información en toda la UE.

Desde GlobalSuite Solutions ofrecemos la ayuda y el asesoramiento necesarios para la implementación de la Directiva NIS2. Además, contamos con el software GlobalSuite® Security con el que tu organización podrá conseguir:.

• ​Mayor facilidad en la gestión de la documentación: creación, actualización y gestión de los documentos necesarios para cumplir con los requisitos de la norma NIS 2, como las políticas de seguridad, los planes de respuesta a incidentes y los registros de seguridad.
• Cumplimiento normativo: estableciendo y haciendo seguimiento de los requisitos de la norma NIS 2, para asegurarse de que se están cumpliendo en todas las áreas de la organización.
• Controlar los riesgos de seguridad: identificando y gestionando los riesgos de seguridad de la información, e implementando controles para mitigar esos riesgos.
• Implementar medidas de seguridad: la plataforma facilita la implementación de medidas de seguridad específicas requeridas por la norma NIS 2, como autenticación reforzada y controles de acceso.
• Monitorizar y mejorar la seguridad: El software ofrece monitorización continua de la seguridad de la información y te permite realizar mejoras en función de las necesidades de la organización.
• Etc.