NIS2, la ciberseguridad en el nuevo panorama normativo
NIS2, la ciberseguridad en el nuevo panorama normativo
El marco normativo europeo, incluido NIS2 y regulaciones como el Reglamento Dora y la Ley de IA, expande la obligatoriedad de cumplir con estándares de ciberseguridad a más sectores, imponiendo requisitos de gestión de riesgos y notificación de incidentes. Esto representa un desafío para las empresas, que deben adaptarse a un entorno regulatorio cada vez más exigente para asegurar la protección contra amenazas cibernéticas.
El nuevo mapa normativo está generando un interés creciente a nuestro ecosistema empresarial. Las nuevas normativas no están descubriendo nada nuevo, pero lo que antes podían ser best practices, certificaciones de valor añadido o guías a adoptar, se convierten en requisitos a cumplir. A cumplir por un tejido empresarial cada vez más amplio. La ciberseguridad afecta a todos, y las normativas amplían el alcance para incorporar sectores y empresas, y de esta forma se busca una mayor protección y una reducción del impacto global en caso de un incidente en las redes y sistemas de información de una entidad concreta.
Las normativas no vienen solas, NIS2, el Reglamento Dora, la Estrategia de Ciberseguridad Europea, la Directiva CER, el Reglamento de Ciberseguridad, el Reglamento para Ciberresilencia o la Ley de IA de la UE, cada una va con sus focos y especificidades, pero todas remando en la misma dirección. La opción y dirección está clara, alineación y cumplimiento. En los últimos meses, muchas entidades han empezado a analizar el impacto de todas ellas y están abordando los requerimientos de las mismas de forma gradual, ya que su cumplimiento implica afectación a diferentes procesos y personas, y se requiere de tiempo, presupuesto y recursos.
Centrándonos en NIS2 y para ponernos en contexto, nos situamos en el 27 de diciembre de 2022 cuando se publicó la nueva Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión Europea (o Directiva NIS2). Dicha normativa no es nueva, proviene de la Directiva de la UE 2016/1148 del mismo Parlamento Europeo y del Consejo, que tenía por objetivo dar garantías de un elevado nivel común de seguridad en redes y sistemas de información de la Unión (Directiva NIS), la cual se transpuso en España a través del Real Decreto-Ley 12/2018, de 7 de septiembre y posteriormente se desarrolló a través del Real Decreto 43/2021 de 26 de enero.
En NIS2, el primer aspecto a tener en consideración es que, subsanando las carencias de aplicación para sectores y empresas, amplia el número de sectores bajo aplicabilidad de la Directiva. A los sectores de Energía, Banca, Mercados Financieros, Sector Sanitario, Transporte, Infraestructura Digital y Aguas Potables, se les suman hasta un total de 18 sectores diferenciados por Sectores de Alta Criticidad y Otros Sectores Críticos: Administración Pública, Química, Investigación, Alimentación, Fabricación, Servicios Postales, Proveedores Digitales, Gestión de residuos, Gestión servicios TIC (B2B), Espacio y Aguas residuales. Teniendo presente ciertas excepciones contempladas en la norma, NIS2 aplicará a las entidades que pertenezcan a alguno de los sectores anteriores de alta criticidad y los pertenecientes a sectores críticos que superen los límites marcados (en número de personas, volumen anual de negocios o importe de balance general), llegando a muchas más empresas medianas y pequeñas.
Los impactos que tendrá la Directiva NIS2 en las diferentes entidades los podemos clasificar en tres ámbitos principales:
• Gobernanza. Responsabilidad de los Órganos de Dirección de las entidades. Éstos deberán, con conocimiento de la materia, aprobar las medidas para la gestión de riesgos de ciberseguridad y supervisar su puesta en funcionamiento. Dirección se ha de involucrar en la ciberseguridad.
• Medidas para la gestión de riesgos de Ciberseguridad. A la espera de los detalles de la transposición, las líneas sobre las cuales se han de basar las medidas para la gestión de los riesgos de ciberseguridad de las entidades son las siguientes:
• Notificación de incidentes. Las entidades deberán estar preparadas para notificar cualquier incidente con impacto significativo en la prestación de sus servicios a la autoridad competente o CSIRT de referencia (y en caso de aplicación a los usuarios). Y muy importante los plazos temporales: notificación en 24 horas, en 24 horas más ser capaces de recibir el asesoramiento operativo, pasadas 72 horas deberán actualizar el estado del incidente con una evaluación inicial completa con gravedad e impacto asociado, e informe final como máximo un mes después.
Son diversos los organismos vinculados a la Directiva NIS2 (CSIRTs, Autoridades competentes, Grupo de cooperación…), cada una con su rol y donde por una parte darán soporte para facilitar el cumplimiento con la normativa, y por otra dispondrán de un amplio abanico de funciones de supervisión como inspecciones in situ, supervisión a distancia, auditorías de seguridad o solicitudes de información para evaluación de medidas, documentación o aplicación de las políticas establecidas. Todo ello bajo la amenaza de importantes sanciones administrativas, posibles suspensiones de parte de las actividades o servicios de la entidad y prohibición temporal de ejercer funciones de dirección por parte de éstas.
A día de hoy, los diferentes estados miembros están en proceso de trasponer la Directiva, con las siguientes fechas clave:
Las normativas no vienen solas, NIS2, el Reglamento Dora, la Estrategia de Ciberseguridad Europea, la Directiva CER, el Reglamento de Ciberseguridad, el Reglamento para Ciberresilencia o la Ley de IA de la UE, cada una va con sus focos y especificidades, pero todas remando en la misma dirección. La opción y dirección está clara, alineación y cumplimiento. En los últimos meses, muchas entidades han empezado a analizar el impacto de todas ellas y están abordando los requerimientos de las mismas de forma gradual, ya que su cumplimiento implica afectación a diferentes procesos y personas, y se requiere de tiempo, presupuesto y recursos.
Centrándonos en NIS2 y para ponernos en contexto, nos situamos en el 27 de diciembre de 2022 cuando se publicó la nueva Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión Europea (o Directiva NIS2). Dicha normativa no es nueva, proviene de la Directiva de la UE 2016/1148 del mismo Parlamento Europeo y del Consejo, que tenía por objetivo dar garantías de un elevado nivel común de seguridad en redes y sistemas de información de la Unión (Directiva NIS), la cual se transpuso en España a través del Real Decreto-Ley 12/2018, de 7 de septiembre y posteriormente se desarrolló a través del Real Decreto 43/2021 de 26 de enero.
En NIS2, el primer aspecto a tener en consideración es que, subsanando las carencias de aplicación para sectores y empresas, amplia el número de sectores bajo aplicabilidad de la Directiva. A los sectores de Energía, Banca, Mercados Financieros, Sector Sanitario, Transporte, Infraestructura Digital y Aguas Potables, se les suman hasta un total de 18 sectores diferenciados por Sectores de Alta Criticidad y Otros Sectores Críticos: Administración Pública, Química, Investigación, Alimentación, Fabricación, Servicios Postales, Proveedores Digitales, Gestión de residuos, Gestión servicios TIC (B2B), Espacio y Aguas residuales. Teniendo presente ciertas excepciones contempladas en la norma, NIS2 aplicará a las entidades que pertenezcan a alguno de los sectores anteriores de alta criticidad y los pertenecientes a sectores críticos que superen los límites marcados (en número de personas, volumen anual de negocios o importe de balance general), llegando a muchas más empresas medianas y pequeñas.
Los impactos que tendrá la Directiva NIS2 en las diferentes entidades los podemos clasificar en tres ámbitos principales:
• Gobernanza. Responsabilidad de los Órganos de Dirección de las entidades. Éstos deberán, con conocimiento de la materia, aprobar las medidas para la gestión de riesgos de ciberseguridad y supervisar su puesta en funcionamiento. Dirección se ha de involucrar en la ciberseguridad.
• Medidas para la gestión de riesgos de Ciberseguridad. A la espera de los detalles de la transposición, las líneas sobre las cuales se han de basar las medidas para la gestión de los riesgos de ciberseguridad de las entidades son las siguientes:
- Políticas de Seguridad de los SI y Análisis de riesgos
- Continuidad de negocio
- Seguridad de la cadena de suministros y proveedores
- Seguridad en adquisición, desarrollo y mantenimiento de redes y SI
- Políticas y procedimientos para evaluar la eficacia de las medidas
- Políticas de concienciación y formación en ciberseguridad
- Políticas y procedimientos sobre el uso de la criptografía y cifrado, control de acceso, gestión de activos y soluciones multifactor y autenticación continua
- Y la última, y que a la vez nos lleva al tercer eje, la Gestión y notificación de incidentes.
• Notificación de incidentes. Las entidades deberán estar preparadas para notificar cualquier incidente con impacto significativo en la prestación de sus servicios a la autoridad competente o CSIRT de referencia (y en caso de aplicación a los usuarios). Y muy importante los plazos temporales: notificación en 24 horas, en 24 horas más ser capaces de recibir el asesoramiento operativo, pasadas 72 horas deberán actualizar el estado del incidente con una evaluación inicial completa con gravedad e impacto asociado, e informe final como máximo un mes después.
Son diversos los organismos vinculados a la Directiva NIS2 (CSIRTs, Autoridades competentes, Grupo de cooperación…), cada una con su rol y donde por una parte darán soporte para facilitar el cumplimiento con la normativa, y por otra dispondrán de un amplio abanico de funciones de supervisión como inspecciones in situ, supervisión a distancia, auditorías de seguridad o solicitudes de información para evaluación de medidas, documentación o aplicación de las políticas establecidas. Todo ello bajo la amenaza de importantes sanciones administrativas, posibles suspensiones de parte de las actividades o servicios de la entidad y prohibición temporal de ejercer funciones de dirección por parte de éstas.
A día de hoy, los diferentes estados miembros están en proceso de trasponer la Directiva, con las siguientes fechas clave:
- Fecha límite del 17 de octubre de este presente año para su completa trasposición.
- Fecha del 17 de enero de 2025 para haber definido el régimen sancionador y las listas de entidades esenciales e importantes.