Esta Directiva extiende las normas de ciberseguridad a nuevos sectores de actividad, en función del tamaño de la organización y su nivel de criticidad.
Nos enfrentamos a una normativa con requisitos precisos y estrictos en la gestión de los riesgos y la notificación de los incidentes, ampliando el alcance a nuevos sectores críticos que no estaban contemplados en la normativa anterior NIS, e incorporando la aplicación de sanciones mucho más severas, efectivas, proporcionadas y disuasorias ante cualquier incumplimiento de las disposiciones nacionales adoptadas al amparo de la Directiva.
Según una reciente encuesta, el 80% de las empresas confía en cumplir la NIS2, pero el 66% no llegará a tiempo.
Objetivos
Aumentar el nivel de seguridad en la Unión Europea es el objetivo principal de la NIS2, así como homogenizar y elevar el nivel común de la ciberseguridad y la ciberresiliencia en los países miembros. Para ello, modifica responsabilidades y obligaciones de la NIS1 y endurece ciertas condiciones, como son la obligación de las auditorías y certificaciones, el incremento de la responsabilidad del CISO, así como las nuevas atribuciones a ENISA (Agencia de la Unión Europea para la Ciberseguridad).
Los principales objetivos de la Directiva NIS2 son:
Establecer un sistema unificado para informar de incidentes de ciberseguridad y gestionar las crisis cibernéticas.
Fortalecer la seguridad de la cadena de suministro y hacer frente a las nuevas amenazas.
Es igualmente objetivo de la Norma elevar el nivel de ciberseguridad y resiliencia de los sistemas de toda la UE frente a ciberamenazas, a través de la Estrategia Nacional de Ciberseguridad (en España data de 2019, y el Plan Nacional de Ciberseguridad aprobado en 2022), adoptando medidas para la gestión de riesgos de ciberseguridad, obligaciones de notificación para las entidades, y normas de obligado cumplimiento relativas al intercambio de información sobre ciberseguridad.
Los órganos de dirección de las entidades esenciales e importantes deberán asistir, y ofrecer periódicamente formación especializada similar a sus empleados, al objeto de adquirir conocimientos y destrezas suficientes que les permitan detectar riesgos y evaluar las prácticas de gestión de riesgos de ciberseguridad, y su repercusión en los servicios proporcionados por la entidad.
Los pasos para la implementación de la NIS2 deben comenzar con medidas organizativas y técnicas que van desde la revisión interna hasta la formación específica, preparando a las entidades para cumplir no solo con la NIS2, sino también con lo próximo: el Acta de Resiliencia Cibernética (CRA) de la UE.
La NIS2 introduce un proceso de notificación de incidentes en fases, que obliga a las organizaciones a informar a las autoridades dentro de las primeras 24 horas de haber detectado un incidente significativo. Esto permite una respuesta más rápida y coordinada a los ciberataques, minimizando el impacto potencial.
Los Estados miembros velarán por que los Órganos de Dirección:
Supervisen su puesta en práctica, y
Respondan por el incumplimiento.
En resumen, la Directiva NIS2 (Network and Information System 2) es una disposición legal que establece un objetivo a alcanzar por los países de la UE y que define unos requisitos mínimos para la ciberseguridad de las infraestructuras críticas y esenciales.
Ámbito de aplicación
Con relación al ámbito de aplicación de dicha Directiva NIS2 en ciberseguridad, se amplía, se concreta y se define dos grupos: entidades esenciales y entidades importantes, aumentando las que se verán obligadas a aplicar los requisitos de ciberseguridad que establece la Directiva.
Entidades esenciales:
Sector Energía
Sector Banca
Infraestructura de los mercados financieros
Sector Sanitario
Suministro y distribución de agua potable
Infraestructura digital y servicios TIC
Sector aguas residuales
Sector Administración Pública
Sector Espacio y Navegación Aérea
Entidades importantes:
Sector gestión de residuos
Sector fabricación, industria y distribución
Sector producción y distribución de substancias y mezclas químicas
Sector producción, transformación y distribución de alimentos
Sector proveedores de servicios digitales
Aspectos claves de la Directiva NIS2
Aparte de intentar homogeneizar, para acabar con las diferencias entre los Estados y elevar el nivel de ciberseguridad de las organizaciones, la responsabilidad, la dirección y el liderazgo en materia de ciberseguridad pasa a ser de dos actores principales: el Consejo de Administración de la organización que entre dentro del ámbito de aplicación y el CISO (Chief Information Security Officer) de la compañía.
A partir de estos puntos de vista, en la Directiva cabe destacar y resumir los siguientes aspectos clave:
Se asigna nuevas responsabilidades a ENISA, como, por ejemplo, la de construir un marco normativo más uniforme, asesorar y orientar a los Estados miembros y a las Autoridades competentes en la definición de sus estrategias en materia de Ciberseguridad.
Se define y evalúa el establecimiento de plataformas de gestión del riesgo y ciberamenazas.
Se mejora la gestión de incidentes de ciberseguridad. Para ello, se crea una red (EU-CyCLONe) que se ocupe de la gestión coordinada de dichos incidentes, así como del intercambio de información.
Se refuerza la revisión de la eficacia de las políticas de ciberseguridad y se da más responsabilidad a la figura del CISO en las organizaciones.
Las exigencias de ciberseguridad se vuelven más estrictas, y cada Estado miembro debe garantizar que dichos requisitos se cumplen por parte de las organizaciones afectadas.
Se endurecen y amplían las sanciones y responsabilidades de la alta dirección, que requerirá del asesoramiento del CISO para gestionar la ciberseguridad.
La Directiva NIS2 representa una oportunidad para que los operadores de infraestructuras críticas revisen, evalúen y actualicen sus capacidades y operaciones en relación con los requisitos de ciberseguridad reforzados y generen mayor confianza de su funcionamiento.
En resumen, muchas actividades e industrias que anteriormente no estaban reguladas en términos de ciberseguridad y ciberresiliencia, deberán ahora cumplir con estrictas medidas de seguridad (prevención + protección) en sus sistemas de información y su gestión, lo que significa que un volumen estimado en más de 100.000 entidades adicionales, deberán adaptarse a los nuevos requisitos y exigencias.