ISGroup Consultoría de Ciberseguridad

Directiva NIS2 y notificación voluntaria de ciberseguridad

La Directiva NIS2 promueve la notificación voluntaria de información sobre ciberseguridad a través de un enfoque multifacético, que incluye la clarificación de los procedimientos de notificación, la garantía de la confidencialidad y el énfasis en los beneficios de compartir información. Para profundizar en el texto normativo, está disponible el documento oficial de la Directiva NIS2.

Directiva NIS2: Disposiciones clave que fomentan la notificación voluntaria

  • El Artículo 30 de la Directiva NIS2 aclara que las entidades pueden notificar voluntariamente a los CSIRT o a las autoridades nacionales.
  • Las notificaciones pueden referirse a incidentes significativos, amenazas cibernéticas y casi incidentes detectados por entidades esenciales e importantes.
  • Incluso las entidades no sujetas a la obligación de notificación pueden comunicar los mismos eventos, independientemente del ámbito de aplicación de la Directiva.
  • La Directiva prevé un proceso para gestionar las notificaciones voluntarias, similar al de las notificaciones obligatorias del Artículo 23.
  • Los Estados miembros pueden dar prioridad a las notificaciones obligatorias sobre las voluntarias.
  • El Artículo 91 aclara que la notificación voluntaria no debe conllevar obligaciones adicionales para la entidad.
  • Esta disposición reduce las preocupaciones sobre las posibles consecuencias negativas de la divulgación de información.
  • El Artículo 29 favorece el intercambio voluntario de información entre entidades.
  • La Directiva promueve la creación de Acuerdos de Intercambio de Información sobre Ciberseguridad.
  • Los acuerdos permiten intercambiar datos sobre amenazas, casi incidentes, vulnerabilidades, técnicas de ataque y prácticas de seguridad.
  • La Directiva fomenta la formación de comunidades de intercambio en los sectores esenciales e importantes.
  • Los Estados miembros deben facilitar estos acuerdos con directrices sobre operatividad, contenidos y condiciones.
  • Las entidades esenciales e importantes deben notificar a las autoridades su participación en los acuerdos.
  • Esta obligación garantiza la transparencia y promueve la confianza en el sistema de intercambio de información.
  • ENISA apoya el intercambio con directrices, intercambio de mejores prácticas y asistencia en la creación de los acuerdos.

Otros elementos en apoyo a la notificación voluntaria

  • La Directiva promueve una cultura de ciberseguridad, enfatizando la importancia de la formación y la sensibilización. Exige a las entidades que proporcionen formación en ciberseguridad a su personal y las anima a extender dicha formación a todos los empleados.
  • Establece un marco para la divulgación coordinada de vulnerabilidades en toda la UE, invitando a individuos y organizaciones a notificar vulnerabilidades en productos y servicios TIC.
  • La creación de una base de datos europea de vulnerabilidades gestionada por ENISA proporciona un repositorio central para las vulnerabilidades conocidas públicamente, mejorando la transparencia y facilitando medidas de seguridad proactivas.

Qué significa en la práctica para las organizaciones

La Directiva NIS2 crea un entorno seguro y favorable para el intercambio de información: aclara las vías de notificación, garantiza la confidencialidad y subraya los beneficios colectivos derivados de abordar proactivamente los desafíos de la ciberseguridad. Para las organizaciones que deben evaluar su propio perímetro de aplicación o estructurar un plan de adecuación, el camino de conformidad con la Directiva NIS2 ofrece un soporte estructurado desde la evaluación inicial hasta la implementación de las medidas requeridas. Para los aspectos relacionados con la designación de los referentes ante el CSIRT nacional, también es útil la guía sobre la obligación de designación del referente CSIRT para los sujetos NIS.

[Callforaction-NIS2-Footer]

In