ISGroup Consultoría de Ciberseguridad

¿Cómo interactúa esta iniciativa con otras políticas de la UE?

La Directiva NIS2 no existe de forma aislada. Forma parte de un marco más amplio de políticas de la UE destinadas a reforzar la seguridad y la resiliencia general de la Unión. Comprender cómo se entrelaza con otras normativas es el primer paso para construir una ruta de cumplimiento de la Directiva NIS2 que tenga en cuenta todo el contexto regulatorio en el que opera la organización. Para profundizar en el marco general, también puede leer cuál es el objetivo principal de la Directiva NIS2.

[Callforaction-NIS2]

A continuación, se explica cómo la NIS2 interactúa con algunas de estas políticas:

NIS2 y la Directiva CER: Garantizar una resiliencia holística para las entidades críticas

La Directiva NIS2 y la Directiva sobre la Resiliencia de las Entidades Críticas (CER) están estrechamente interconectadas, con ámbitos de aplicación en gran medida alineados. Esta alineación tiene como objetivo proporcionar un enfoque integral tanto para la resiliencia física como para la cibernética de las entidades consideradas críticas en la UE.

  • Ámbito compartido para las entidades críticas: Las entidades identificadas como “críticas” según la Directiva CER entran automáticamente bajo la jurisdicción de la NIS2, asegurando que cumplan con las obligaciones de ciberseguridad.
  • Cooperación e intercambio de información entre autoridades: Las autoridades nacionales competentes designadas bajo ambas directivas están obligadas a cooperar e intercambiar regularmente información pertinente. Esto incluye compartir datos sobre amenazas e incidentes cibernéticos, así como sobre riesgos e incidentes no cibernéticos, facilitando una comprensión holística de las amenazas.
  • Reuniones regulares entre los grupos de cooperación: Para mejorar la coordinación estratégica, el Grupo de Cooperación NIS y el Grupo para la Resiliencia de las Entidades Críticas, establecido bajo la Directiva CER, deben celebrar reuniones regulares, al menos una vez al año. Esto fomenta el diálogo y la colaboración para abordar los desafíos relacionados con la resiliencia.

NIS2 y DORA: Optimizar la ciberseguridad en el sector financiero

Aunque la NIS2 incluye a instituciones de crédito, gestores de centros de negociación y contrapartes centrales, el Reglamento sobre la Resiliencia Operativa Digital para el Sector Financiero (DORA) prevalece para estas entidades en lo que respecta a la gestión del riesgo de ciberseguridad y las obligaciones de notificación.

  • DORA como reglamento primario para las entidades financieras: Para las entidades financieras cubiertas por DORA, las disposiciones relativas a la gestión del riesgo de ciberseguridad y la notificación de incidentes previstas por DORA tienen prioridad sobre las de la NIS2.
  • Intercambio continuo de información y colaboración:
  • Participación en el Grupo de Cooperación NIS: Las Autoridades Europeas de Supervisión (AES) para el sector financiero y las autoridades nacionales competentes bajo DORA pueden participar en las discusiones del Grupo de Cooperación NIS, asegurando que la perspectiva del sector financiero sea considerada en las estrategias de ciberseguridad más amplias.
  • Intercambio de información con entidades NIS2: Las autoridades competentes de DORA pueden consultar y compartir información pertinente con los Puntos de Contacto Únicos (SPOC) y los CSIRT establecidos bajo la NIS2, facilitando un flujo de información intersectorial y mejorando la concienciación y la respuesta ante incidentes. Sobre el papel operativo de los CSIRT en el contexto NIS2, es útil profundizar también en la obligación de designación del referente CSIRT para los sujetos NIS.
  • Notificación de incidentes graves de TIC: Las autoridades que operan bajo la NIS2 deben recibir detalles sobre incidentes informáticos graves de sus homólogos de DORA, asegurando visibilidad y respuestas oportunas a incidentes con potencial impacto en múltiples sectores.
  • Inclusión continua en las estrategias nacionales: A pesar del papel primario de DORA, se subraya la importancia de mantener la inclusión del sector financiero en las estrategias nacionales de ciberseguridad. Además, los CSIRT nacionales pueden cubrir el sector financiero en sus actividades, reforzando aún más la postura de seguridad informática.

NIS2 y otras regulaciones sectoriales específicas

La NIS2 reconoce la existencia de regulaciones sectoriales específicas de la UE en materia de ciberseguridad. Cuando estas regulaciones ofrecen un nivel de seguridad equivalente o superior al de la NIS2, prevalecen. Este principio es evidente en la interacción con DORA, pero también se extiende a otros sectores. Sin embargo, la directiva no proporciona ejemplos específicos de otras regulaciones sectoriales más allá de DORA en las que esto se aplique.

Puntos clave

  • Interacción y complementariedad: La NIS2 no es una política autónoma; interactúa y complementa otras regulaciones de la UE, especialmente aquellas relacionadas con las entidades críticas y el sector financiero.
  • Colaboración esencial: Aunque las leyes sectoriales como DORA pueden tener prioridad en sus respectivos ámbitos, la colaboración y el intercambio de información entre estos sectores y el marco más amplio de la NIS2 siguen siendo cruciales para mantener una postura de ciberseguridad fuerte y unificada en toda la UE.
  • Objetivo común de resiliencia: El objetivo principal es garantizar un nivel elevado y armonizado de resiliencia a la ciberseguridad en la UE, teniendo en cuenta las características únicas y las necesidades específicas de los diferentes sectores.

La NIS2 desempeña un papel fundamental en el refuerzo de la seguridad cibernética en la UE, interactuando estrechamente con otras políticas y regulaciones para crear un enfoque integrado y coherente para la resiliencia de las infraestructuras críticas y los servicios esenciales. Para consultar el texto íntegro, está disponible el documento oficial de la Directiva NIS2.

Preguntas frecuentes

  • Si mi organización ya está sujeta a DORA, ¿debo preocuparme por la NIS2?
  • En términos generales, para las entidades financieras cubiertas por DORA, las disposiciones de este último prevalecen sobre las de la NIS2 en materia de gestión del riesgo de TIC y notificación de incidentes. Sin embargo, la NIS2 sigue aplicándose a los aspectos no cubiertos por DORA, y las autoridades competentes de ambos regímenes están obligadas a coordinarse. Es conveniente verificar caso por caso qué obligaciones se solapan y cuáles permanecen distintas.
  • ¿Qué significa en la práctica ser identificado como “entidad crítica” según la Directiva CER?
  • Las entidades clasificadas como críticas por la Directiva CER entran automáticamente también en el perímetro de la NIS2, lo que significa que deben cumplir tanto con las obligaciones de resiliencia física previstas por la CER como con las de ciberseguridad impuestas por la NIS2. Las autoridades nacionales competentes de las dos directivas están obligadas a cooperar e intercambiar información sobre riesgos e incidentes.
  • ¿Cómo cooperan concretamente las autoridades nacionales entre los diferentes regímenes normativos?
  • La NIS2 prevé mecanismos estructurados de cooperación: el Grupo de Cooperación NIS se reúne al menos una vez al año con el Grupo para la Resiliencia de las Entidades Críticas (CER), mientras que las autoridades DORA pueden participar en las discusiones del Grupo de Cooperación NIS. Los CSIRT nacionales y los Puntos de Contacto Únicos (SPOC) actúan como canales operativos para el intercambio de información sobre incidentes y amenazas entre diferentes sectores.

[Callforaction-NIS2-Footer]

In