NIS 2 – La Directiva (UE) 2022/2555

¿Qué impacto tiene en la estrategia de ciberseguridad de tu empresa?

La directiva europea UE) 2022/2555 conocida como NIS 2 pretende reforzar la ciberseguridad introduciendo normas más estrictas para muchos sectores.

La NIS 2 se enmarca dentro de la llamada “Estrategia Digital Europea”, en el contexto de revisión realizada por la Comisión Europea de la NIS 1 en 2020. La finalidad de la NIS 1 era fijar unos estándares comunes en materia de ciberseguridad para todos los Estados Miembros con el objetivo de garantizar la seguridad de las redes y sistemas de información en toda la UE. Sin embargo, desde la adopción de la NIS 1, los incidentes en ciberseguridad y el coste global de la ciberdelincuencia han aumentado significativamente. Además, la implementación de la NIS 1 presentó dificultades debido a las divergencias en su transposición por parte de los Estados Miembros, lo que comprometió la pretendida uniformidad de ciberseguridad en la UE.

Con la aprobación de esta directiva se pretende eliminar las diferencias entre los Estados miembros en la aplicación de la Directiva NIS (2016) sobre la seguridad de las redes y sistemas de información, obligando a los mismos a adoptar estrategias nacionales de ciberseguridad y a designar o establecer autoridades competentes, de gestión de crisis de ciberseguridad, puntos de contacto únicos sobre ciberseguridad y equipos de respuesta a ciberincidentes.Aumenta el número de sectores respecto a la NIS 1, diferenciando un total de 18 sectores especificados en los Anexos I (Sectores de alta criticidad) y II (Otros sectores críticos), con subsectores para una mayor comprensión (transporte de gas, agua potable) , sector sanitario, laboratorios, gestión de servicios TIC B2B, etc.).

La legislación, que entró en vigor hace poco más de un año, debe ser adaptada por los distintos Estados Miembros de la UE antes de Octubre de 2024. Se da una importancia significativa a los órganos de dirección de las entidades afectadas, puesto que la NIS 2 les obliga a:

  • Aprobar la adecuación de las medidas necesarias para la gestión de riesgos de ciberseguridad;
  • Supervisar de forma periódica su implementación; y
  • Responder como responsables ante los incumplimientos de la normativa.

La directiva NIS2 se basa en dos pilares principales para fortalecer la ciberseguridad y la resiliencia general

  • Medidas para cuidar la seguridad

Las organizaciones están obligadas a implementar robustas medidas de gestión de riesgos y continuidad del negocio para minimizar los riesgos y el impacto cibernético. Esto incluye:

  • Análisis de riesgos y políticas de seguridad de la información
  • Gestión exhaustiva de incidentes
  • Planificación de crisis y de la continuidad del negocio
  • Sólida seguridad de la cadena de suministro
  • Seguridad de red empresarial
  • Gestión y divulgación de vulnerabilidades
  • Políticas y procedimientos que evalúan la eficacia de la gestión de riesgos de ciberseguridad
  • Uso de criptografía y cifrado

Estas medidas pueden ser compatibles con otras medidas no previstas en la NIS 2 de forma complementaria. Además, las entidades deben atender a diferentes aspectos para asegurar su proporcionalidad como, por ejemplo, el tipo de sector, el tamaño de la entidad, el grado de exposición al riesgo o la probabilidad de ocurrencia, así como la gravedad de la propia materialización del incidente y su coste. La NIS 2 pretende favorecer la adopción por parte de las entidades de una actitud proactiva, en lugar de reactiva, frente a los incidentes.

  • Obligación de informar

La Directiva NIS 2 estipula que los Estados miembros deberán asegurar que las entidades esenciales e importantes notifiquen a su CSIRT de referencia, o a la autoridad competente, cualquier incidente que tenga un impacto significativo en la prestación de sus servicios. Estos impactos adquieren la denominación de significativo si han causado o pueden causar graves perturbaciones operativas de los servicios o pérdidas económicas en la entidad afectada y han afectado o pueden afectar a otras personas físicas o jurídicas al causar perjuicios materiales o inmateriales considerables.

Las entidades esenciales están obligadas a establecer procesos para informar rápidamente sobre significativos incidentes de seguridad, con plazos específicos de notificación, como un sistema de alerta temprana de 24 horas. NIS2 también enfatiza significativamente la responsabilidad corporativa, y exige que la gerencia esté activamente involucrada y bien informada sobre las medidas de ciberseguridad de la organización.

El flujo de notificación que propone la Directiva NIS 2 para los incidentes significativos es:

– Notificación inicial – Alerta temprana: en un plazo de 24 horas desde que se haya tenido constancia del incidente.
– Notificación intermedia – Actualización: pasadas 72 horas desde la detección del incidente, las entidades deberán actualizar el estado del incidente exponiendo una evaluación inicial.
– Notificación final – Presentación informe: a más tardar un mes después de la notificación del incidente, las entidades deberán presentar un informe final que recoja una descripción detallada del mismo (incluyendo gravedad, impacto, tipo de amenaza que haya provocado el incidente, medidas paliativas aplicadas y en curso y, si aplica, repercusiones transfronterizas).

¿Quién está afectado?

 INDUSTRIAS ESENCIALES O DE INFRAESTRUCTURA CRÍTICA

 ≥250 empleados a tiempo completo o

 ≥50M€ de facturación anual o

 balance general de ≥43M€  

 INDUSTRIAS IMPORTANTES

 
 ≥50 empleados a tiempo completo o

 ≥€10M de facturación anual o

balance general de ≥€10M (o 2% de las ventas mundiales)

Sectores afectados

Próximos pasos

A fecha de 17 de enero de 2023 ha comenzado el periodo de transposición de la Directiva NIS 2 por los Estados miembro de la UE, el cual finalizará el 17 de octubre de 2024.
 
De la misma forma, con fecha límite de 17 de enero de 2025, los Estados miembro deberán haber comunicado el régimen sancionador aplicable por incumplimiento y, para el 17 de abril de 2025 habrán elaborado una lista de entidades esenciales e importantes.