ISGroup Consultoría de Ciberseguridad

¿Cuáles son las principales diferencias entre las Directivas NIS1 y NIS2?

La Directiva NIS2 representa una evolución significativa respecto a la Directiva NIS1, con el objetivo de superar sus limitaciones y adaptarse al panorama en constante evolución de la ciberseguridad. Si deseas saber si tu organización entra dentro del perímetro y qué hacer concretamente, el punto de partida es verificar las obligaciones previstas por el camino de cumplimiento de la Directiva NIS2.

[Callforaction-NIS2]

Aquí tienes un análisis detallado de las principales diferencias:

Ámbito ampliado y umbrales basados en el tamaño

  • NIS1: Se centraba en siete sectores críticos: energía, transporte, banca, infraestructuras de los mercados financieros, agua potable, sanidad e infraestructuras digitales. Solo las entidades designadas como “operadores de servicios esenciales” (OES) dentro de estos sectores entraban en el ámbito de la directiva.
  • NIS2: Amplía significativamente el ámbito incluyendo sectores adicionales cruciales para la economía y la sociedad, basándose en su nivel de digitalización e interconexión. Estos incluyen:
  • Sectores de alta criticidad: energía (ampliado para incluir calefacción y refrigeración urbana, petróleo, gas e hidrógeno), transporte (cubriendo aire, ferrocarril, agua y carretera), banca, infraestructuras de los mercados financieros, sanidad (incluida la producción farmacéutica, incluidos los medicamentos), agua potable, aguas residuales, infraestructuras digitales (ampliado para incluir puntos de intercambio de internet, proveedores de servicios DNS, registros de nombres TLD, proveedores de computación en la nube, proveedores de centros de datos, redes de distribución de contenidos, proveedores de servicios de confianza, proveedores de redes de comunicaciones electrónicas públicas y servicios de comunicaciones electrónicas accesibles al público), gestión de servicios TIC (incluidos proveedores de servicios gestionados y proveedores de servicios de seguridad gestionados), administración pública y espacio.
  • Otros sectores críticos: servicios postales y de mensajería, gestión de residuos, productos químicos, alimentación, fabricación de dispositivos médicos, ordenadores, electrónica, maquinaria, vehículos de motor, remolques y otros equipos de transporte, proveedores digitales (incluidos mercados en línea, motores de búsqueda en línea y plataformas de redes sociales), y organizaciones de investigación.
  • Umbrales basados en el tamaño: La NIS2 introduce una regla basada en el tamaño, incluyendo automáticamente a todas las empresas medianas y grandes en los sectores seleccionados. También concede a los Estados miembros la flexibilidad de designar entidades más pequeñas con perfiles de alto riesgo que deberían entrar en las obligaciones de la directiva. Esto representa un alejamiento del enfoque más específico de la NIS1, que se basaba en que los Estados miembros identificaran entidades específicas.

Clasificación de las entidades: De OES y DSP a Esenciales e Importantes

  • NIS1: Distinguía entre “operadores de servicios esenciales” (OES) y “proveedores de servicios digitales” (DSP), aplicando requisitos normativos diferentes a cada categoría.
  • NIS2: Elimina esta distinción, clasificando en su lugar a las entidades como “esenciales” o “importantes” según su importancia. Esta clasificación simplificada tiene como objetivo proporcionar mayor claridad y coherencia entre los sectores.

Requisitos de seguridad potenciados y racionalizados

  • NIS1: Requería que los OES realizaran evaluaciones de riesgo de ciberseguridad e implementaran medidas de seguridad apropiadas, pero proporcionaba indicaciones menos específicas sobre su implementación.
  • NIS2: Refuerza y racionaliza los requisitos de seguridad imponiendo un enfoque más explícito a la gestión del riesgo. Introduce una lista de diez elementos clave de seguridad que todas las entidades cubiertas deben abordar en sus políticas de gestión del riesgo de ciberseguridad. Estos incluyen requisitos para:
  • Análisis de riesgo y políticas de seguridad: Realizar evaluaciones de riesgo periódicas, desarrollar y actualizar políticas de seguridad, y alinearlas con estándares reconocidos y mejores prácticas.
  • Gestión de incidentes: Establecer procedimientos claros para la notificación, comunicación, escalada y respuesta a incidentes, garantizando un enfoque rápido y coordinado para minimizar daños y tiempos de inactividad.
  • Continuidad operativa y gestión de crisis: Implementar medidas para garantizar la resiliencia operativa, como procesos de copia de seguridad y recuperación ante desastres, y desarrollar planes para la gestión de crisis, incluidas estrategias de comunicación.
  • Seguridad de la cadena de suministro: Evaluar y mitigar los riesgos asociados a proveedores y prestadores de servicios, teniendo en cuenta sus prácticas de seguridad y postura general de ciberseguridad.
  • Seguridad en la adquisición, desarrollo y mantenimiento de sistemas de red e información: Integrar consideraciones de seguridad en todo el ciclo de vida de los sistemas TIC, desde la adquisición y desarrollo hasta la distribución, mantenimiento y retirada.
  • Políticas y procedimientos para evaluar la eficacia de las medidas de gestión del riesgo de ciberseguridad: Establecer mecanismos para evaluar periódicamente la eficacia de los controles de seguridad implementados mediante auditorías, pruebas de penetración y otras formas de evaluación de la seguridad.
  • Políticas sobre el uso de la criptografía y cifrado: Proteger los datos sensibles tanto en tránsito como en reposo implementando controles criptográficos apropiados, incluidos cifrado, protocolos de comunicación seguros y firmas digitales.
  • Seguridad de los recursos humanos: Implementar medidas de seguridad relacionadas con los recursos humanos, incluidos controles de antecedentes para los empleados en puestos críticos, formación sobre concienciación de seguridad y medidas de control de acceso.
  • Uso de la autenticación multifactor o autenticación continua: Mejorar la seguridad de los accesos implementando mecanismos de autenticación robustos que vayan más allá de las simples contraseñas, como la autenticación multifactor o métodos de autenticación continua.
  • Políticas y procedimientos para garantizar la seguridad física de los sistemas de red e información: Abordar los riesgos de seguridad física para las infraestructuras y los sistemas críticos, incluyendo medidas para controlar el acceso a salas de servidores, centros de datos y otras ubicaciones sensibles.

Procedimientos de notificación de incidentes más detallados

  • NIS1: Requería la notificación de “incidentes graves”, pero con indicaciones menos detalladas sobre los tiempos y el contenido de la notificación.
  • NIS2: Introduce un proceso de notificación de incidentes más preciso con plazos claros y requisitos de contenido específicos. Esto incluye un enfoque en varias fases:
  • Alerta preliminar: Dentro de las 24 horas siguientes al momento en que se tiene conocimiento de un incidente significativo, las entidades deben enviar una alerta preliminar a su CSIRT o a la autoridad nacional competente, permitiendo una intervención temprana y una posible mitigación.
  • Notificación del incidente: Esta notificación inicial debe ir seguida de una notificación más completa en un plazo de 72 horas, proporcionando más detalles sobre el impacto del incidente y las acciones de respuesta emprendidas.
  • Informe final: Se requiere un informe final a más tardar un mes después de la notificación inicial, ofreciendo un análisis detallado del incidente, su causa raíz y las lecciones aprendidas para prevenir incidentes similares en el futuro.

Supervisión, aplicación y sanciones armonizadas más fuertes

  • NIS1: Se basaba fuertemente en los Estados miembros para la supervisión y la aplicación, lo que conducía a una aplicación incoherente de las sanciones en toda la UE.
  • NIS2: Refuerza las medidas de supervisión, impone una aplicación más rigurosa y busca armonizar los regímenes sancionadores en todos los Estados miembros.
  • Poderes de supervisión potenciados: Proporciona a las autoridades nacionales una lista mínima de herramientas de supervisión, incluidas auditorías periódicas y específicas, inspecciones in situ, solicitudes de información y acceso a la documentación.
  • Regímenes de supervisión diferenciados: Establece enfoques de supervisión distintos para las entidades “esenciales” e “importantes”, adaptando la supervisión a sus perfiles de riesgo y al impacto potencial.
  • Marco sancionador armonizado: Introduce una lista mínima de sanciones administrativas por infracciones de los requisitos de la directiva, incluidas instrucciones vinculantes, auditorías de seguridad obligatorias y multas administrativas.
  • Multas administrativas significativas: Para las entidades “esenciales”, la NIS2 prevé multas administrativas de hasta 10 millones de euros o el 2% del volumen de negocios anual global, lo que sea mayor. Para las entidades “importantes”, la multa máxima es de al menos 7 millones de euros o el 1,4% del volumen de negocios anual global.
  • Responsabilidad de la alta dirección: Introduce disposiciones para responsabilizar a los individuos en puestos de alta dirección por las infracciones de la directiva, promoviendo una cultura de responsabilidad en los niveles más altos de las organizaciones.

Mejor gestión de las crisis cibernéticas y cooperación a nivel de la UE

  • NIS1: Carecía de disposiciones específicas para una gestión coordinada de las crisis cibernéticas a nivel de la UE.
  • NIS2: Refuerza la cooperación a nivel de la UE e introduce mecanismos para mejorar la prevención, la gestión y la respuesta a las crisis cibernéticas:
  • Autoridades nacionales de gestión de crisis cibernéticas: Obliga a cada Estado miembro a designar una autoridad nacional responsable de la gestión de las crisis cibernéticas, garantizando líneas claras de responsabilidad y coordinación.
  • Planes nacionales de respuesta a crisis cibernéticas: Requiere que los Estados miembros desarrollen planes nacionales integrales para responder a incidentes y crisis de ciberseguridad a gran escala, delineando funciones, responsabilidades, protocolos de comunicación y procedimientos de escalada.
  • EU-CyCLONe: Establece la Red Europea de Organizaciones de Enlace para Crisis Cibernéticas (EU-CyCLONe) para proporcionar apoyo operativo para la gestión coordinada de incidentes y crisis de ciberseguridad a gran escala entre los Estados miembros.

Abordar la ciberseguridad en las cadenas de suministro

  • NIS1: No abordaba específicamente los riesgos de ciberseguridad en las cadenas de suministro.
  • NIS2: Incluye requisitos para que las entidades aborden los riesgos de ciberseguridad dentro de sus cadenas de suministro y relaciones con los proveedores. Esto incluye realizar evaluaciones de riesgo de los proveedores críticos, implementar controles de seguridad en los procesos de adquisición y promover el intercambio de información y la cooperación en cuestiones de ciberseguridad en toda la cadena de suministro.

Papel potenciado del Grupo de Cooperación e intercambio de información

  • NIS1: Estableció el Grupo de Cooperación para facilitar la cooperación estratégica y el intercambio de información entre los Estados miembros.
  • NIS2: Refuerza el papel del Grupo de Cooperación en la configuración de las decisiones estratégicas de política de ciberseguridad y promueve un intercambio de información y una cooperación más sistemática entre las autoridades de los Estados miembros. Esto incluye el intercambio de información sobre amenazas, vulnerabilidades, incidentes, mejores prácticas y enfoques normativos.

Divulgación coordinada de vulnerabilidades y base de datos de vulnerabilidades de la UE

  • NIS1: No incluía disposiciones para la divulgación coordinada de vulnerabilidades.
  • NIS2: Establece un marco para la divulgación coordinada de vulnerabilidades, delineando procedimientos para la notificación de vulnerabilidades a los proveedores y coordinando prácticas de divulgación responsable. También obliga a la creación de una base de datos de vulnerabilidades de la UE, mantenida por ENISA, para rastrear las vulnerabilidades públicamente conocidas en productos y servicios TIC.

En resumen, la Directiva NIS2 se basa en los cimientos puestos por la NIS1, ampliando su ámbito, reforzando sus requisitos e introduciendo nuevos mecanismos de cooperación y aplicación para abordar los desafíos de ciberseguridad en evolución a los que se enfrenta la UE. Para profundizar en el marco normativo completo puedes consultar el documento oficial de la Directiva NIS2, o leer cuál es el objetivo principal de la Directiva NIS2. Si tu organización ya está inscrita en el registro ACN, puedes encontrar indicaciones operativas también sobre qué conlleva el cumplimiento NIS2 dentro de los plazos ACN.

Preguntas frecuentes sobre la Directiva NIS2

  • ¿Mi empresa entra en el perímetro NIS2 aunque no estuviera sujeta a la NIS1?
  • Es posible. La NIS2 amplía significativamente el perímetro respecto a la NIS1, incluyendo nuevos sectores y aplicando umbrales dimensionales automáticos: todas las medianas y grandes empresas en los sectores cubiertos entran en las obligaciones, independientemente de una designación explícita como ocurría con la NIS1. Por tanto, es necesario verificar el sector de pertenencia y el tamaño de la empresa.
  • ¿Cuáles son las sanciones previstas para quienes no respeten la NIS2?
  • Para las entidades clasificadas como “esenciales”, las sanciones administrativas pueden llegar hasta los 10 millones de euros o el 2% del volumen de negocios anual global (se aplica el valor más alto). Para las entidades “importantes”, el máximo es de 7 millones de euros o el 1,4% del volumen de negocios global. La NIS2 también introduce la responsabilidad personal de la alta dirección.
  • ¿Para cuándo deben adaptarse las organizaciones a la NIS2 en Italia?
  • La transposición italiana de la Directiva NIS2 se realizó con el Decreto Legislativo 138/2024. Los plazos operativos para el registro y la adaptación son gestionados por la ACN (Agencia para la Ciberseguridad Nacional), que ha definido las ventanas temporales para la inscripción en el registro de sujetos NIS y las consiguientes obligaciones de cumplimiento.

[Callforaction-NIS2-Footer]

In