La Directiva NIS2 impone obligaciones específicas a los Estados miembros en relación con la creación, implementación y revisión periódica de las estrategias nacionales de ciberseguridad. Estas estrategias proporcionan un marco de alto nivel para mejorar la postura de ciberseguridad y la resiliencia a nivel nacional.

[Callforaction-NIS2]

A continuación, se presenta una visión general de las principales obligaciones:

• Adopción de una Estrategia Nacional de Ciberseguridad: Cada Estado miembro está obligado a establecer una estrategia nacional de ciberseguridad integral. Esta estrategia debe definir los objetivos estratégicos de ciberseguridad del país, los recursos asignados para alcanzar dichos objetivos y las medidas estratégicas y reglamentarias vigentes para lograr y mantener un alto nivel de ciberseguridad.
• Contenido de la Estrategia: La Directiva NIS2 proporciona detalles específicos sobre los elementos que deben incluirse en cada estrategia nacional de ciberseguridad. Estos incluyen:
• Objetivos y Prioridades: Definición clara de los objetivos y prioridades de ciberseguridad, con especial atención a los sectores enumerados en los Anexos I y II de la directiva, que comprenden una amplia gama de sectores críticos como energía, transporte, salud e infraestructuras digitales.
• Marco de Gobernanza: Estructura de gobernanza bien definida para alcanzar los objetivos y prioridades establecidos. Este marco debe aclarar los roles y responsabilidades de las partes interesadas involucradas en la ciberseguridad a nivel nacional, incluidas las autoridades competentes, los Equipos de Respuesta a Incidentes de Seguridad Informática (CSIRT) y los puntos de contacto únicos (SPOC). También debe delinear los mecanismos de cooperación y coordinación entre estas entidades.
• Evaluación de Riesgos e Identificación de Recursos: Mecanismo para identificar y evaluar los riesgos de ciberseguridad dentro del Estado miembro, junto con una evaluación de los recursos disponibles para abordar dichos riesgos. Este elemento asegura un enfoque basado en el riesgo en la asignación de recursos y en la definición de prioridades.
• Preparación y Respuesta ante Incidentes: Plan que detalla las medidas para garantizar la preparación, respuesta y recuperación ante incidentes de ciberseguridad, incluida la colaboración entre los sectores público y privado. Esto subraya la importancia de un enfoque coordinado para la respuesta y recuperación ante incidentes.
• Identificación de las Partes Interesadas: Lista de las diversas autoridades y partes interesadas involucradas en la implementación de la estrategia nacional de ciberseguridad, promoviendo la transparencia y la rendición de cuentas.
• Marco de Coordinación: Marco estratégico para mejorar la coordinación entre las autoridades competentes responsables de la ciberseguridad conforme a la Directiva NIS2 y aquellas que operan bajo la Directiva (UE) 2022/2557. Este marco tiene como objetivo optimizar el intercambio de información y la colaboración sobre riesgos, amenazas e incidentes cibernéticos y no cibernéticos, así como las tareas de supervisión conjunta cuando sea necesario.
• Sensibilización Pública: Plan, que incluye las medidas necesarias, para aumentar la conciencia general del público sobre la ciberseguridad. Este elemento enfatiza la importancia de educar a los ciudadanos sobre los riesgos cibernéticos y promover prácticas en línea seguras.
• Medidas Estratégicas: Además de los elementos principales, la Directiva NIS2 alienta a los Estados miembros a considerar medidas estratégicas específicas en sus estrategias, tales como:
  • Ciberseguridad en la cadena de suministro de las TIC
  • Requisitos de ciberseguridad en la contratación pública de productos y servicios de las TIC
  • Gestión de vulnerabilidades, incluida la divulgación coordinada de vulnerabilidades
  • Apoyo a una Internet segura y abierta
  • Promoción de tecnologías avanzadas de ciberseguridad
  • Defensa cibernética activa
• Notificación a la Comisión: Los Estados miembros deben notificar a la Comisión Europea sus estrategias nacionales de ciberseguridad adoptadas en un plazo de tres meses tras su adopción. Esta notificación permite a la Comisión supervisar la implementación y evaluar la alineación general de las estrategias nacionales con los objetivos de la Directiva NIS2. Para las organizaciones que entran en el ámbito de aplicación de la directiva, comprender estas obligaciones es el primer paso hacia un camino estructurado de cumplimiento de la NIS2. En el frente italiano, la ACN gestiona la inscripción de los sujetos obligados: todo lo que hay que saber sobre la lista NIS2 y los plazos de la ACN.
• Revisión y Actualizaciones Periódicas: La Directiva NIS2 exige que los Estados miembros evalúen y actualicen regularmente sus estrategias nacionales de ciberseguridad.
• Frecuencia: Esta revisión debe realizarse periódicamente, al menos una vez cada cinco años, y basarse en un conjunto de indicadores clave de rendimiento (KPI) para evaluar la eficacia de las estrategias.
• Apoyo de ENISA: Reconociendo la complejidad en el desarrollo y actualización de estas estrategias, la Directiva NIS2 destaca el apoyo disponible para los Estados miembros por parte de ENISA, la Agencia de la Unión Europea para la Ciberseguridad. Previa solicitud, ENISA puede asistir a los Estados miembros en la redacción, actualización o evaluación de sus estrategias y en el desarrollo de los KPI pertinentes, asegurando la alineación con los requisitos de la Directiva.

Al establecer estas obligaciones claras, la Directiva NIS2 tiene como objetivo garantizar que todos los Estados miembros cuenten con estrategias nacionales de ciberseguridad robustas y actualizadas. Estas estrategias, desarrolladas y revisadas en línea con un conjunto común de principios y objetivos, desempeñan un papel crucial en la promoción de un mayor nivel de preparación y resiliencia en materia de ciberseguridad en toda la Unión Europea. Para profundizar en el marco normativo de referencia, está disponible el texto y el objetivo principal de la Directiva NIS2.

[Callforaction-NIS2-Footer]