ISGroup Consultoría de Ciberseguridad

¿Cuáles son los elementos clave de la Directiva NIS2 que buscan corregir las carencias de la anterior Directiva NIS?

La Directiva NIS2 fue desarrollada para fortalecer la ciberseguridad en la Unión Europea, abordando diversas lagunas identificadas en la Directiva NIS original.

[Callforaction-NIS2]

A continuación, se presentan los elementos clave de la NIS2 y cómo responden a dichas carencias:

  1. Ampliación del Ámbito de Aplicación:
  • Sectores y Entidades más ampliamente cubiertos: La NIS2 extiende el alcance incluyendo más sectores considerados cruciales para la economía y la sociedad. Mientras que la NIS1 se centraba en siete sectores críticos, la NIS2 incluye sectores adicionales para abordar el “nivel insuficiente de resiliencia cibernética de las empresas que operan en la UE” observado anteriormente.
  • Umbral basado en el tamaño: La directiva introduce una regla de umbral dimensional, exigiendo que todas las empresas medianas y grandes en los sectores seleccionados cumplan con sus requisitos. Esto garantiza que las entidades con una presencia digital significativa y un impacto potencial sean responsables de su postura de ciberseguridad.
  • Eliminación de la distinción entre OES y DSP: La NIS2 elimina la distinción entre Operadores de Servicios Esenciales (OES) y Proveedores de Servicios Digitales (DSP), clasificando en su lugar a las entidades como “esenciales” o “importantes”, con niveles de supervisión variables. Esto simplifica la categorización y promueve un enfoque más coherente en la supervisión.
  1. Requisitos de seguridad reforzados:
  • Enfoque en la gestión de riesgos: La NIS2 introduce un enfoque basado en la gestión de riesgos e impone una lista mínima de elementos de seguridad fundamentales que todas las empresas cubiertas deben abordar.
  • Estandarización de las medidas de seguridad: Esto incluye la gestión de incidentes, la seguridad de la cadena de suministro, la gestión y divulgación de vulnerabilidades y el uso de la criptografía. Al establecer una base común de medidas de ciberseguridad, la NIS2 pretende corregir las incoherencias en las implementaciones de los requisitos de seguridad bajo la NIS1.
  1. Mejora en la notificación de incidentes:
  • Enfoque de notificación en varias fases:
    • Alerta preliminar: Las empresas tienen 24 horas para enviar un primer informe a las autoridades competentes tras tener conocimiento de un incidente. Este sistema de alerta temprana permite tiempos de respuesta más rápidos.
    • Notificación del incidente: En un plazo de 72 horas, debe enviarse una notificación más detallada del incidente.
    • Informe final: Se requiere un informe final completo en el plazo de un mes desde el incidente.
  • Equilibrio entre rapidez y exhaustividad: Este enfoque estructurado busca equilibrar la necesidad de compartir información rápidamente con la importancia de un análisis profundo y el aprendizaje derivado de los incidentes.
  1. Supervisión y ejecución más estrictas:
  • Medidas de supervisión potenciadas: La NIS2 proporciona una lista mínima de herramientas de supervisión para las autoridades nacionales, incluyendo auditorías, inspecciones in situ, solicitudes de información y acceso a la documentación.
  • Supervisión diferenciada: Implementa diferentes niveles de supervisión para entidades “esenciales” e “importantes”, garantizando un enfoque más específico y proporcionado.
  • Sanciones armonizadas: Establece un marco para sanciones coherentes en toda la UE por violaciones de la directiva, incluyendo una lista mínima de sanciones administrativas que tienen en cuenta el tamaño de la entidad y la gravedad de la infracción.
  1. Cooperación reforzada:
  • Rol potenciado del Grupo de Cooperación NIS: La NIS2 refuerza el papel del Grupo de Cooperación NIS en la facilitación de la toma de decisiones estratégicas, el intercambio de información y la coordinación entre los Estados miembros en materia de ciberseguridad.
  • Mejora de la red CSIRT: Su objetivo es mejorar la cooperación operativa dentro de la red CSIRT, promoviendo el intercambio rápido de información y respuestas coordinadas a los incidentes de ciberseguridad, especialmente aquellos con implicaciones transfronterizas. Para profundizar en las obligaciones específicas relacionadas con el CSIRT, es útil leer también la obligación de designación del referente CSIRT para los sujetos NIS.
  • Establecimiento de EU-CyCLONe: La creación de EU-CyCLONe, una red europea de enlace para crisis cibernéticas, es una adición significativa en la NIS2, diseñada específicamente para mejorar la preparación y la respuesta de la UE ante incidentes y crisis de ciberseguridad a gran escala.

La Directiva NIS2 representa un paso adelante significativo en la estrategia de ciberseguridad de la UE. Al abordar las carencias de la NIS1 y adaptarse al panorama de amenazas en evolución, la NIS2 busca crear un entorno digital más seguro y resiliente para las empresas y los ciudadanos en toda la Unión Europea. Si su organización entra en el perímetro de la directiva, evaluar su nivel de cumplimiento es el primer paso concreto: el camino de cumplimiento de la NIS2 de ISGroup acompaña a las empresas desde el análisis de brechas hasta la implementación de las medidas requeridas. Para entender dónde se sitúa su organización respecto a los plazos de la ACN, también puede consultar la lista de sujetos NIS2 y las indicaciones de la ACN sobre el 31 de marzo.

[Callforaction-NIS2-Footer]

In