La Directiva NIS2 impone nuevos estándares para la ciberseguridad, pero ¿cómo se evaluará a los sujetos involucrados? Las empresas deberán cumplir con criterios más rigurosos, pero ¿cuáles serán los parámetros de control? Comprender el proceso de evaluación es fundamental para prepararse ante las nuevas normas y evitar sanciones. Para las organizaciones que están estructurando un plan de adecuación a la NIS2, conocer los mecanismos de control previstos por la directiva es el primer paso concreto.

[Callforaction-NIS2]

Directiva NIS2: La revisión periódica de la Comisión Europea

La Comisión Europea tiene el encargo de examinar el funcionamiento de la directiva y presentar un informe al Parlamento Europeo y al Consejo. La primera revisión está prevista para el 17 de octubre de 2027 y las revisiones sucesivas cada 36 meses. Esta revisión evaluará el impacto de la directiva, identificará áreas de mejora y considerará la posible necesidad de propuestas legislativas.

• Revisión por pares (Peer review): La Directiva NIS2 establece un mecanismo de revisión por pares voluntario entre los Estados miembros. Estas revisiones tienen como objetivo evaluar y mejorar las capacidades de ciberseguridad de los Estados miembros y las políticas relativas a la implementación de la directiva. El Grupo de Cooperación, con el apoyo de la Comisión y de ENISA, define la metodología y los aspectos organizativos de dichas revisiones.
  • Las revisiones por pares se centran en varios aspectos, incluyendo la implementación de medidas de gestión de riesgos informáticos, los procesos de notificación de incidentes, las capacidades de las autoridades competentes y de los CSIRT, los acuerdos de asistencia mutua, los acuerdos de intercambio de información y las problemáticas transfronterizas o intersectoriales.
  • Los resultados de estas revisiones proporcionarán indicaciones sobre la eficacia de la implementación de la directiva entre los Estados miembros e identificarán potenciales áreas de mejora.
• Informes del Grupo de Cooperación: El Grupo de Cooperación está compuesto por representantes de los Estados miembros, de la Comisión y de ENISA. Es responsable de la preparación de informes basados en las experiencias adquiridas a nivel estratégico y en las revisiones por pares. Estos informes serán enviados a la Comisión, al Parlamento Europeo y al Consejo, contribuyendo a la evaluación global de la eficacia de la directiva.
• Informes sobre el estado de la ciberseguridad: ENISA, en colaboración con la Comisión y el Grupo de Cooperación, debe publicar un informe bienal sobre el estado de la ciberseguridad en la UE. Este informe evaluará varios aspectos de la ciberseguridad, incluyendo:
  • Riesgos de ciberseguridad a nivel de la UE, teniendo en cuenta el panorama de las amenazas informáticas.
  • Desarrollo de las capacidades de ciberseguridad en los sectores público y privado.
  • Concienciación de los ciudadanos y de las entidades respecto a la seguridad informática y la higiene cibernética.
  • Resultados agregados de las revisiones por pares.
  • Nivel agregado de madurez de las capacidades y recursos de ciberseguridad en la UE, incluidos los sectores específicos, y el nivel de alineación de las estrategias nacionales de ciberseguridad de los Estados miembros.
  Estos informes proporcionarán datos y conocimientos valiosos sobre el estado general de la postura de seguridad informática de la UE y sobre el impacto de la Directiva NIS2.
• Informes de la red CSIRT: La Red CSIRT, responsable de la cooperación operativa entre los CSIRT nacionales, debe evaluar los progresos en la cooperación operativa y producir un informe cada dos años. El informe se realizará a partir del 17 de enero de 2025. Este informe, enviado al Grupo de Cooperación, evaluará los avances sobre la base de las revisiones por pares de los CSIRT nacionales e incluirá conclusiones y recomendaciones. El informe contribuirá a comprender la eficacia de la cooperación operativa y de los mecanismos de respuesta a incidentes establecidos por la directiva.
• Informe de evaluación de EU-CyCLONe: EU-CyCLONe, establecido para apoyar la gestión coordinada de incidentes y crisis informáticas a gran escala, presentará un informe de evaluación al Parlamento Europeo y al Consejo. El primer informe está previsto para el 17 de julio de 2024, con informes sucesivos cada 18 meses. Este informe proporcionará indicaciones sobre la eficacia de los mecanismos de gestión de crisis informáticas a nivel de la UE.

Combinando datos y conocimientos de estas diversas fuentes, la UE pretende evaluar de forma exhaustiva la eficacia de la Directiva NIS2 en el cumplimiento de sus objetivos de mejora de la ciberseguridad en toda la Unión.

[Callforaction-NIS2-Footer]