El pasado 14 de diciembre de 2022, el Parlamento Europeo y el Consejo de la Unión Europea aprobaron la directiva conocida como NIS2 (Network and Information Security) cuyo título, tal y como se publicó en el Diario Oficial de la Unión Europea, deja claro la intención de la misma: relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión. Sus objetivos son el fortalecimiento de la ciberseguridad, integrándola en el funcionamiento basal de las organizaciones públicas y privadas y hacer un frente común entre los Estados miembros.
La idea de la comisión encargada de su redacción fue la de mejorar, afianzar, corregir carencias y, en fin, traer al contexto presente los objetivos de la primera directiva NIS del 2016, la primera ley de ciberseguridad de la Unión Europea. Los puntos clave que justificaron esta revisión de la NIS fueron:
- Mejorable resiliencia en las empresas en materia de ciberseguridad.
- Poca homogeneización entre los estados miembros y entre los sectores empresariales-industriales y falta de una estrategia común.
- Insuficiente comprensión del alcance de los retos y de las amenazas.
Además, la crisis del covid-19 aceleró la constante transformación digital de la sociedad y dejó patente las debilidades causadas por la dependencia en las soluciones digitales, así como por la estrecha interdependencia entre los diferentes agentes en el mercado interior. Se habló de dicha crisis como un catalizador que puso a la maquinaria legislativa europea a actualizar la NIS1.
La directiva NIS2 plantea su objetivo básico de robustecer el nivel global de la ciberseguridad en el entorno de la Unión basándose en los tres pilares fundamentales de la NIS1, a saber:
- Exigencia a los Estados miembros de la creación de una estrategia nacional de ciberseguridad, así como la designación de equipos nacionales de respuesta a incidentes de seguridad informática (CSIRT en siglas, como el INCIBE-CERT o en CCN-CERT en España), una autoridad nacional competente en materia de ciberseguridad y un punto único de contacto.
- Creación de un grupo de cooperación destinado al intercambio de información entre los Estados miembros.
- Adopción de medidas de ciberseguridad en los sectores considerados críticos para la economía y la sociedad, altamente dependientes de las tecnologías de la información: energía, transporte, banca, finanzas, agua sanitaria, sanidad e infraestructuras digitales.
Los Estados miembros deberán tener incorporados los contenidos de la directiva NIS2 a sus ordenamientos jurídicos para el 17 de octubre de 2024.
Cambios en NIS2
Infraestructuras crítica
Se reenfoca la distinción existente en la anterior directiva entre servicios esenciales y proveedores de servicios digitales en favor de una clasificación en función de su relevancia: entidades esenciales y entidades importantes. Aunque los requerimientos en ambas serán los mismos, sí se diferenciarán principalmente, pero no solo, en las medidas de supervisión: las entidades esenciales tendrán siempre que cumplir con ellas, mientras que las importantes solo en el caso de que las autoridades reciban evidencias de no cumplimiento.
A los sectores considerados de alta criticidad ya incluidos en la anterior directiva, a saber, energía, transporte, banca, finanzas, agua, sanidad, infraestructuras digitales, se le han unido los siguientes:
- Administración pública.
- Espacio.
- Aguas residuales.
- Proveedores de servicios digitales.
- Servicios postales y de mensajería.
- Gestión de residuos.
- Fabricación, producción y distribución de sustancias y mezclas químicas.
- Producción, transformación y distribución de alimentos.
- Fabricación.
- Investigación.
Los estados miembros tienen cierto margen de maniobra para decidir en qué categoría entrarían cada uno de los sectores, así como para decidir si una empresa pequeña, en principio fuera del alcance de la directiva, debería también adecuarse si su campo de negocio cae en algunas de estas actividades.
Cooperación entre Estados
Con el objetivo de mejorar la cooperación entre los estados miembros, la Agencia Europea para la Ciberseguridad (ENISA) creará una base de datos de vulnerabilidades en el que todas las entidades, entren o no bajo el paraguas de esta directiva, puedan contribuir de manera voluntaria.
Reporte de incidentes
El reporte de incidentes se seguirá realizando a través del punto de contacto único designado y coordinado por un CSIRT (o autoridad competente). Lo que ha actualizado la nueva directiva NIS2 son los plazos temporales: 24 horas para una comunicación temprana, 72 horas para una notificación completa del incidente valorando la severidad y el alcance del mismo, y un mes para el envío de informe final.
Además, los CSIRT (o autoridad competente) tendrá que enviar trimestralmente una lista anonimizada de incidentes.
Cadenas de suministro
La NIS2 pone también el foco en las cadenas de suministro, donde a menudo se ponen en contacto a clientes sujetos a la directiva con suministradores fuera de su alcance. Como la fortaleza de una cadena es la de su eslabón más débil, la directiva determinará que en ese caso el cliente deba exigir cierto estándar en materia de ciberseguridad a su suministrador.
Responsabilidad activa de la dirección
Otra novedad en la nueva directiva es que se requiere la responsabilidad activa de la dirección de las empresas. Esto conlleva evaluaciones de riesgo, planes de acción ante incidentes, formación interna en ciberseguridad, etc… todas ellas con carácter obligatorio.
Sanciones
Se reajustan las cuantías de las sanciones administrativas por el no cumplimiento de las medidas recogidas en la directiva, con multas máximas de 10 millones de euros (o el 2% de las ventas anuales) para entidades esenciales y de 7 millones de euros (o el 1,4% de las ventas anuales) para las entidades importantes. Además, se contempla la posibilidad de presentar cargos criminales contra la parte directiva de las organizaciones en caso de negligencias severas ante un ciberataque.
¿Cómo prepararse para la llegada de la NIS2?
El texto de la directiva es una lectura densa y muy técnica en la que una persona no familiarizada con la jerga legal le costará hacer pie, con 144 consideraciones previas y 46 artículos. Como hemos visto, afectan a aspectos clave del día a día de las empresas a las que se aplicará. Aunque el foco principal será a grandes empresas con cierto músculo, que ya suelen contar con departamentos dedicados exclusivamente a los temas legales, también hemos comentado que el factor determinante para tener que cumplir con los requerimientos de la directiva es la naturaleza del trabajo realizado.
Además, esta directiva se engloba en una serie de transformaciones legales más amplia impulsadas por la Unión, todas relativas al espacio de la seguridad informática, como la ley de ciberresiliencia (CRA) o el reglamento sobre la resiliencia operativa digital (DORA), entre otras.
Ante esto, la pregunta de cómo prepararse para la llegada de la NIS2 está perfectamente justificada. A continuación detallamos algunos puntos clave a tener en cuenta:
Anticipación
Estos procesos son lentos, mientras que a la vez tienden a hundirse al fondo de la pila de prioridades. Puede ser beneficioso el considerar que estos cambios son positivos y todos ayudarán a fortalecer a la entidad incluso ante la ausencia de imperativos legales.
Sistema de gestión de riesgos
Las organizaciones tendrán que estudiar sus propios procesos y estructuras para identificar los riesgos presentes, así como establecer protocolos de actuación y de definición de responsabilidades.
Ciberseguridad como cultura corporativa
A pesar de lo difícil que es este paso, debe promoverse a todos los niveles dentro de la organización hasta conseguir que se integre perfectamente en el día a día de la organización. Todos los miembros tienen que tener un conocimiento mínimo de buenas prácticas, ataques comunes, qué vigilar y cómo protegerse.
Buscar asistencia profesional
La forma más segura de recorrer este camino hacia el cumplimiento de los contenidos de la directiva NIS2 es hacerlo apoyado por un equipo de expertos en la materia, conocedores de las limitaciones que tienen las empresas en estas situaciones, y que se puedan adaptar a las necesidades particulares de cada caso.
En resumen, la directiva de la Unión Europea NIS2 plantea la creación de un frente común y robusto contra las ciberamenazas, siempre en auge y siempre en evolución. Aunque no se convertirán en ley hasta finales de 2024, los cambios que tendrán que realizar las entidades de sectores esenciales e importantes son de gran calado, por lo que los primeros pasos deberían ya estar en proceso o, al menos, en sus agendas.