Las fuentes destacan diversos desafíos potenciales en la implementación y aplicación de la Directiva NIS2.

[Callforaction-NIS2]

1. Directiva NIS2: Requisitos legislativos

Uno de los principales desafíos consiste en determinar si la legislación sectorial específica de la UE ya existente ofrece requisitos de ciberseguridad y obligaciones de notificación de incidentes equivalentes a los previstos por la Directiva NIS2. Esta evaluación requiere un análisis de los efectos de las medidas de gestión de riesgos y de las obligaciones de notificación de incidentes previstas por la legislación sectorial, en comparación con los artículos 21 y 23 de la Directiva NIS2.

• La Comisión proporcionará directrices para ayudar a los Estados miembros a determinar la equivalencia. Sin embargo, interpretar estas directrices y aplicarlas a diversos contextos normativos podría ser complejo. Las disposiciones sectoriales podrían ser, de hecho, más detalladas que las de la Directiva NIS2. Esta granularidad puede hacer más compleja la evaluación de la equivalencia, requiriendo un análisis cuidadoso para asegurar que la ley sectorial alcance el mismo nivel de ciberseguridad previsto por la directiva.
• Garantizar que la legislación sectorial permita el acceso inmediato a las notificaciones de incidentes por parte de los CSIRT (Equipos de Respuesta a Incidentes de Seguridad Informática) competentes, las autoridades nacionales y los puntos de contacto únicos puede representar un desafío técnico y administrativo. Las directrices sugieren que esto podría implicar la transmisión directa de las notificaciones o el acceso a través de un único punto de acceso. Implementar tales mecanismos y garantizar su interoperabilidad con el marco general de la NIS2 podría ser complejo.

2. Directiva NIS2: Identificación

La Directiva NIS2 amplía significativamente el ámbito de la directiva anterior incluyendo nuevos sectores y entidades sobre la base de su tamaño y perfil de riesgo. Esta ampliación presenta desafíos en:

• Identificar a todas las entidades que entran en el ámbito de la directiva. Los Estados miembros deben establecer criterios claros para determinar qué entidades cumplen el umbral dimensional e identificar entidades más pequeñas con un perfil de riesgo elevado. Este proceso podría ser intensivo en términos de recursos, requiriendo la recopilación de información sobre las entidades que operan dentro de las fronteras nacionales, incluyendo tamaño, actividad y riesgos informáticos potenciales. Las fuentes sugieren que los Estados miembros pueden utilizar mecanismos como el registro para facilitar la identificación de las entidades, pero diseñar e implementar tales mecanismos será fundamental. Para el contexto italiano, el artículo sobre la ACN y la lista de sujetos NIS2 con fecha límite al 31 de marzo ofrece un marco actualizado sobre las modalidades de inscripción.
• Asegurar que las entidades sean conscientes de sus obligaciones en virtud de la directiva. Las fuentes enfatizan la necesidad de sensibilizar a las entidades respecto a la Directiva NIS2 y sus responsabilidades. Esto requerirá esfuerzos efectivos de comunicación y divulgación tanto por parte de la Comisión como de los Estados miembros.
• Coordinarse con la Directiva sobre la Resiliencia de las Entidades Críticas (CER) para garantizar que las entidades identificadas como críticas en el ámbito de la CER estén sujetas también a las obligaciones NIS2. Esto requiere una comunicación clara y cooperación entre las autoridades competentes responsables de la implementación de ambas directivas.

3. Las medidas de seguridad

La Directiva NIS2 requiere que las entidades cubiertas implementen una serie de medidas de gestión de riesgos informáticos. Esto presenta varios desafíos para las entidades:

• Comprender e implementar los diez elementos clave de la gestión de riesgos informáticos descritos en la directiva. Las entidades deben tener una comprensión profunda de sus riesgos informáticos y desarrollar políticas y procedimientos adecuados para mitigarlos. Las fuentes indican que la Comisión proporcionará más indicaciones sobre estos elementos clave, pero las entidades deberán mantenerse actualizadas sobre estas indicaciones y adaptar sus prácticas en consecuencia.
• Gestionar la seguridad de las cadenas de suministro y las relaciones con los proveedores. Las entidades están obligadas a gestionar los riesgos informáticos a lo largo de toda la cadena de suministro, una tarea compleja que incluye la diligencia debida sobre los proveedores, la definición de requisitos de seguridad en los contratos y el seguimiento de las prácticas de seguridad de los proveedores.
• Gestionar los costes de implementación de las medidas de ciberseguridad. Implementar medidas de seguridad robustas puede ser costoso, especialmente para las entidades más pequeñas. Los Estados miembros podrían tener que proporcionar apoyo financiero o incentivos para ayudar a las entidades a cubrir dichos costes.

4. Notificación de incidentes

La Directiva NIS2 introduce un proceso de notificación de incidentes en varias fases, que busca equilibrar la necesidad de una notificación rápida con la exigencia de información detallada. Las entidades deben enviar un aviso preliminar en un plazo de 24 horas desde que tengan conocimiento de un incidente significativo, seguido de una notificación del incidente en un plazo de 72 horas y un informe final en el plazo de un mes. Este proceso presenta desafíos en:

• Establecer procedimientos internos claros para identificar y notificar incidentes significativos. Las entidades deben definir qué constituye un incidente significativo, formar al personal sobre los procedimientos de notificación y establecer líneas de comunicación claras.
• Cumplir con los plazos de notificación. Los plazos de 24 y 72 horas para los avisos preliminares y las notificaciones de incidentes podrían ser difíciles de cumplir para las entidades que carecen de capacidades de respuesta a incidentes bien desarrolladas. Sobre el tema de la figura responsable ante el CSIRT, es útil profundizar en la obligación de designación del referente CSIRT para los sujetos NIS.
• Proporcionar información completa y precisa en los informes sobre incidentes. Las fuentes indican que la Comisión proporcionará más indicaciones sobre el contenido de los informes de incidentes. Sin embargo, las entidades deberán documentar con precisión los incidentes y proporcionar toda la información necesaria a las autoridades competentes.

5. Supervisión y ejecución

La Directiva NIS2 enfatiza medidas de supervisión más fuertes para las autoridades nacionales y requisitos de ejecución más severos. Esto conlleva desafíos en:

• Asegurar que las autoridades nacionales competentes tengan los recursos y las competencias necesarias para supervisar y ejecutar eficazmente la directiva. Esto incluye personal suficiente, competencias técnicas y recursos financieros adecuados.
• Implementar regímenes de supervisión diferenciados para entidades esenciales e importantes. Esto requiere que las autoridades nacionales desarrollen enfoques y procedimientos diferentes para la supervisión de cada tipo de entidad.
• Superar la reticencia a aplicar sanciones. Las fuentes notan una reticencia general entre los Estados miembros a aplicar sanciones por violaciones de la ciberseguridad. Esto debe cambiar para garantizar que la Directiva NIS2 tenga un efecto disuasorio.
• Garantizar que las sanciones se apliquen de forma coherente entre los Estados miembros. La Directiva NIS2 establece una lista mínima de sanciones administrativas, pero los Estados miembros tienen cierta flexibilidad en su implementación. Esto podría llevar a discrepancias en la aplicación de las sanciones entre los Estados miembros, creando potencialmente condiciones de competencia desleal para las entidades que operan en diferentes jurisdicciones. Para las organizaciones que desean abordar estos desafíos con método, iniciar un camino estructurado de adecuación a la NIS2 permite mapear las brechas, definir las prioridades y cumplir con los requisitos normativos de forma sostenible.

6. Colaboración e intercambio de información

La Directiva NIS2 enfatiza la importancia de la colaboración y el intercambio de información entre Estados miembros e instituciones de la UE. Esto conlleva desafíos en:

• Establecer mecanismos efectivos para el intercambio de información sobre amenazas, vulnerabilidades e incidentes informáticos. Esto incluye el intercambio de información entre Estados miembros, entre instituciones de la UE y entre el sector público y privado.
• Superar las barreras lingüísticas y las diferencias en las prácticas de ciberseguridad nacionales. La UE tiene 27 Estados miembros, cada uno con su propio idioma, sistema jurídico y cultura de ciberseguridad. Estas diferencias pueden hacer difícil colaborar eficazmente en cuestiones de ciberseguridad.
• Construir confianza entre las partes interesadas. Una colaboración efectiva requiere confianza entre todas las partes involucradas, lo cual puede ser difícil de construir, especialmente en el contexto de la ciberseguridad, donde a menudo se comparte información sensible.

Preguntas frecuentes sobre la Directiva NIS2

• ¿Quién debe verificar si entra en el ámbito de la Directiva NIS2?
• Cualquier organización que opere en uno de los sectores cubiertos por la directiva —ya sean esenciales o importantes— debe verificar si supera los umbrales dimensionales previstos o si presenta un perfil de riesgo tal que la haga sujeta a las obligaciones NIS2. En Italia, la ACN gestiona el proceso de identificación y registro de los sujetos.
• ¿Qué sucede si una organización no cumple con los plazos de notificación de incidentes?
• La falta de notificación en los plazos previstos —aviso preliminar en 24 horas y notificación en 72 horas— expone a la organización a sanciones administrativas. La NIS2 prevé sanciones significativas, con topes diferenciados entre sujetos esenciales e importantes, y los Estados miembros están obligados a aplicarlas de forma efectiva.
• ¿Por dónde conviene empezar para abordar la conformidad con la NIS2?
• El punto de partida más útil es una evaluación de la brecha (gap analysis) respecto a los requisitos de los artículos 21 y 23: medidas de gestión de riesgos, seguridad de la cadena de suministro, procedimientos de notificación de incidentes y gobernanza. De este análisis se obtiene un plan de adecuación con prioridades claras y plazos realistas.

[Callforaction-NIS2-Footer]