ISGroup Consultoría de Ciberseguridad

Directiva NIS2: Poderes de supervisión de las autoridades

Aquí tiene una visión general de los poderes de supervisión otorgados a las autoridades nacionales competentes bajo la Directiva NIS2.

Directiva NIS2: Supervisión de las autoridades nacionales

La Directiva NIS2 confiere a las autoridades nacionales competentes una serie de poderes de supervisión para garantizar que las entidades esenciales e importantes cumplan con los requisitos en materia de gestión de riesgos de ciberseguridad y notificación de incidentes. Estos poderes están diseñados para facilitar una actividad de vigilancia eficaz y promover un nivel homogéneo de seguridad informática en toda la UE. Para las organizaciones que entran en el ámbito de aplicación de la directiva, comprender estos mecanismos es el primer paso para estructurar un adecuado proceso de adaptación a la NIS2.

[Callforaction-NIS2]

Principales poderes de supervisión según la Directiva NIS2

  • Medidas de supervisión preventiva para las entidades esenciales: La Directiva prevé un régimen de supervisión más riguroso para las entidades esenciales, imponiendo a las autoridades competentes la obligación de supervisar activamente su cumplimiento de los requisitos de ciberseguridad.
    • Auditorías regulares y específicas: Las autoridades competentes pueden realizar auditorías regulares para evaluar el nivel general de ciberseguridad de las entidades esenciales. Pueden llevar a cabo auditorías específicas sobre áreas concretas que susciten preocupación.
    • Inspecciones in situ y a distancia: Para verificar el cumplimiento y recopilar pruebas, las autoridades competentes pueden realizar inspecciones in situ en las sedes de la entidad y llevar a cabo inspecciones a distancia solicitando documentación o acceso a los sistemas.
  • Medidas de supervisión posterior para las entidades importantes: Para las entidades importantes, la Directiva adopta un enfoque más reactivo. Se centra en medidas de supervisión posterior activadas por pruebas o indicios de incumplimiento.
    • Investigaciones: Si una entidad importante podría no estar cumpliendo con la NIS2, las autoridades pueden iniciar investigaciones para verificar el incumplimiento.
    • Auditorías de seguridad específicas: Las autoridades pueden solicitar auditorías realizadas por expertos independientes para evaluar las medidas de seguridad e identificar vulnerabilidades.
    • Escaneos de seguridad: Las autoridades pueden realizar escaneos en los sistemas de la entidad, utilizando criterios de evaluación objetivos y transparentes, en colaboración con la entidad para reducir el impacto operativo.

Poderes de solicitud de información y acceso

  • Solicitudes de información: Las autoridades competentes pueden solicitar a las entidades esenciales e importantes que proporcionen la información necesaria para evaluar sus prácticas, incluyendo:
    • Políticas de ciberseguridad documentadas.
    • Pruebas de cumplimiento de las obligaciones de notificación de incidentes.
    • Resultados de las auditorías de seguridad realizadas por auditores cualificados.
  • Acceso a datos, documentos y sistemas: Para llevar a cabo sus actividades de supervisión, las autoridades competentes tienen el poder de solicitar acceso a datos, documentos y otra información pertinente para su evaluación. Esto incluye:
    • Registros (logs) de seguridad e informes de incidentes.
    • Evaluaciones de vulnerabilidades y resultados de pruebas de penetración.
    • Pruebas de los programas de formación en ciberseguridad.

Diferenciación de los regímenes de supervisión según la Directiva NIS2

  • Entidades esenciales: La Directiva establece un régimen de supervisión más amplio y proactivo para las entidades esenciales.
  • Entidades importantes: El régimen de supervisión para las entidades importantes es más enfocado y reactivo, basándose principalmente en medidas posteriores activadas por pruebas o indicios de incumplimiento.

Colaboración e intercambio de información

  • Cooperación con las autoridades de protección de datos: Si un incidente de seguridad afecta a datos personales, las autoridades competentes deben colaborar con las de protección de datos para una respuesta coordinada.
  • Intercambio de información: La Directiva fomenta el intercambio de datos entre autoridades nacionales y transfronterizas sobre incidentes, amenazas y mejores prácticas de ciberseguridad.

En general, la Directiva NIS2 confiere a las autoridades nacionales competentes un conjunto completo de poderes de supervisión para vigilar la implementación de los requisitos de ciberseguridad por parte de las entidades esenciales e importantes. Para profundizar en el marco normativo de referencia, está disponible el documento oficial de la Directiva NIS2. Con estos poderes, las autoridades competentes pueden contribuir a un nivel más elevado de ciberseguridad en toda la UE.

Preguntas frecuentes sobre los poderes de supervisión NIS2

  • ¿Cuál es la diferencia práctica entre la supervisión de las entidades esenciales y la de las entidades importantes?
  • Para las entidades esenciales, el régimen es proactivo: las autoridades realizan auditorías e inspecciones regulares incluso en ausencia de señales de incumplimiento. Para las entidades importantes, el enfoque es reactivo: los controles se activan principalmente cuando surgen pruebas o indicios de violación de los requisitos NIS2.
  • ¿Qué puede solicitar una autoridad competente durante una inspección NIS2?
  • Las autoridades pueden solicitar políticas de seguridad documentadas, registros de sistema, informes de incidentes, resultados de auditorías y pruebas de penetración, además de pruebas de los programas de formación del personal. También pueden realizar inspecciones físicas in situ o acceder a los sistemas de forma remota.
  • ¿Cómo puede prepararse una organización para las auditorías previstas por la NIS2?
  • Es útil mantener documentación actualizada sobre las medidas de seguridad adoptadas, conservar los registros de incidentes y los resultados de las evaluaciones de vulnerabilidad, y verificar que las políticas internas estén alineadas con los requisitos de la directiva. Un análisis del propio nivel de cumplimiento, realizado antes de que llegue una inspección, reduce significativamente el riesgo de sanciones.

[Callforaction-NIS2-Footer]

In