ISGroup Consultoría de Ciberseguridad

¿Cuáles son los principales requisitos de ciberseguridad para las entidades sujetas a la Directiva NIS2?

La Directiva NIS2 establece una serie de requisitos fundamentales de ciberseguridad para las entidades que entran en su ámbito de aplicación. La siguiente respuesta ilustra algunos de estos requisitos clave.

[Callforaction-NIS2]

Principales requisitos de ciberseguridad de la Directiva NIS2

  • Gestión del riesgo: Según la Directiva NIS2, los Estados miembros deben garantizar que las entidades designadas como “esenciales” o “importantes” adopten medidas técnicas, operativas y organizativas para gestionar los riesgos relativos a la ciberseguridad de sus sistemas de información y de red. Este enfoque de gestión del riesgo se aplica tanto a las operaciones internas de las entidades como a la prestación de sus servicios. Las medidas de gestión del riesgo para la ciberseguridad deben incluir, entre otras cosas:
    • Análisis de riesgos y políticas de seguridad de los sistemas de información;
    • Gestión de incidentes;
    • Continuidad operativa (p. ej., gestión de copias de seguridad y recuperación de datos en caso de desastre) y gestión de crisis;
    • Seguridad de la cadena de suministro;
    • Políticas y procedimientos para el uso de la criptografía (y del cifrado, cuando sea aplicable).
  • Notificación de incidentes: La Directiva NIS2 exige a las entidades que notifiquen los “incidentes significativos” al Equipo de Respuesta a Emergencias Informáticas (CSIRT) nacional o a la autoridad nacional competente “sin dilación indebida”. Un “incidente significativo” se define como un evento que “ha causado o es capaz de causar una interrupción sustancial en la prestación de un servicio esencial”. Para los sujetos NIS, la designación del referente CSIRT es uno de los cumplimientos operativos que no se deben pasar por alto.
  • Medidas de supervisión: Las autoridades competentes de cada Estado miembro están encargadas de supervisar a las entidades que entran en el ámbito de la Directiva NIS2. Para ello, la Directiva confiere a dichas autoridades diversas herramientas de supervisión, entre ellas:
    • Auditorías regulares y específicas;
    • Controles in situ y a distancia;
    • Solicitudes de información; y
    • Acceso a documentos y otras pruebas.
  • Aplicación de las normas: La Directiva NIS2 armoniza los regímenes sancionadores para las entidades que no cumplen sus obligaciones. Establece una lista mínima de sanciones administrativas por infracciones de las obligaciones de gestión de riesgos y de notificación de incidentes. Estas sanciones incluyen:
    • Instrucciones vinculantes;
    • Órdenes de ejecución de las recomendaciones de una auditoría de seguridad;
    • Órdenes de adecuación de las medidas de seguridad a los requisitos de la Directiva NIS2; y
    • Sanciones administrativas.

Equivalencia con actos jurídicos sectoriales

Es importante señalar que la Directiva NIS2 incluye un principio de “equivalencia” con los actos jurídicos sectoriales de la UE actuales y futuros que abordan la ciberseguridad.

  • Según dicho principio, las disposiciones de ciberseguridad de la Directiva NIS2 no se aplican a las entidades ya sujetas a obligaciones de ciberseguridad sectoriales conforme a la normativa de la UE, siempre que las obligaciones en cuestión sean al menos equivalentes a las de la Directiva NIS2.
  • Para determinar si dichas obligaciones sectoriales son equivalentes, es necesario evaluar si incluyen medidas que garanticen la seguridad de los “sistemas de red y de información”. Dicho término, tal como se define en la Directiva NIS2, es bastante amplio e incluye:
    • Redes de comunicaciones electrónicas;
    • Cualquier dispositivo o grupo de dispositivos interconectados o relacionados, uno o varios de los cuales, mediante un programa, realizan el procesamiento automático de datos digitales; y
    • Datos digitales que se almacenan, procesan, recuperan o transmiten a través de dichas redes o dispositivos para fines de funcionamiento, uso, protección y mantenimiento.
  • En la determinación de la equivalencia, también es importante considerar si las medidas de gestión del riesgo del acto jurídico sectorial tienen en cuenta la seguridad física y ambiental de los sistemas de red y de información, protegiéndolos de amenazas tales como:
    • Fallos del sistema;
    • Errores humanos;
    • Acciones malintencionadas; o
    • Fenómenos naturales.

La Comisión Europea ha publicado directrices que aclaran cómo se aplica este principio de equivalencia. Por ejemplo, la Comisión ha declarado que las obligaciones de ciberseguridad sectoriales en la Ley de Resiliencia Operativa Digital (DORA) son equivalentes a las de la Directiva NIS2 y, en consecuencia, las disposiciones de ciberseguridad de la NIS2 no se aplican a las entidades sujetas a DORA. Sin embargo, los Estados miembros siguen estando obligados a aplicar las disposiciones de la Directiva NIS2 sobre:

  • Planes nacionales de respuesta a incidentes y crisis de ciberseguridad;
  • EU-CyCLONe; y
  • Estrategias nacionales de ciberseguridad

a las entidades que entran en el ámbito de aplicación de DORA.

Ámbito de aplicación de la Directiva NIS2

La Directiva NIS2 se aplica tanto a las entidades públicas como privadas. Cubre entidades de una amplia gama de sectores, entre ellos:

  • Energía;
  • Transporte;
  • Banca;
  • Infraestructuras de los mercados financieros;
  • Sanidad (incluida la producción de fármacos);
  • Agua potable;
  • Aguas residuales;
  • Infraestructuras digitales;
  • Gestión de servicios TIC;
  • Administración pública;
  • Espacio;
  • Servicios postales y de mensajería;
  • Gestión de residuos;
  • Productos químicos;
  • Alimentación;
  • Producción de dispositivos médicos, ordenadores, electrónica, maquinaria, equipos, vehículos de motor, remolques y semirremolques, y otros equipos de transporte;
  • Proveedores digitales (incluidos los mercados en línea, los motores de búsqueda en línea y los servicios de redes sociales); y
  • Organizaciones de investigación.

En términos generales, solo las empresas medianas y grandes de estos sectores estarán cubiertas por la Directiva NIS2. Sin embargo, los Estados miembros tienen la facultad de aplicar las obligaciones de la Directiva también a entidades de menor tamaño que presentan un perfil de riesgo elevado. Para entender si su organización entra en el perímetro y qué cumplimientos se requieren concretamente, es útil consultar también las indicaciones sobre ACN y la lista NIS2 de los sujetos obligados. Quienes ya hayan verificado su inclusión pueden profundizar en el proceso de adecuación con el soporte para el cumplimiento de la Directiva NIS2 ofrecido por ISGroup.

[Callforaction-NIS2-Footer]

In