ISGroup Consultoría de Ciberseguridad

El papel de las Autoridades Nacionales Competentes en la implementación y aplicación de la Directiva NIS2

La Directiva NIS2 se apoya en gran medida en las autoridades nacionales competentes para implementar y hacer cumplir sus disposiciones, asignándoles una serie de responsabilidades que cubren diversas fases del ciclo de vida de la directiva. Para las organizaciones que entran en el perímetro, comprender cómo funciona este sistema de gobernanza es el primer paso para establecer un camino estructurado de cumplimiento de la NIS2.

[Callforaction-NIS2]

1. Creación del Ecosistema NIS2

  • Desarrollo de las Estrategias Nacionales de Ciberseguridad: Cada Estado miembro debe adoptar una estrategia nacional de ciberseguridad integral que defina las prioridades estratégicas, los objetivos y los marcos de gobernanza para la ciberseguridad. Estas estrategias deben incluir mecanismos de cooperación y coordinación entre los diversos actores relevantes, incluidas las autoridades competentes, los puntos de contacto únicos (Single Points of Contact, SPOC) y los equipos de respuesta a incidentes de seguridad informática (Computer Security Incident Response Teams, CSIRT), así como la coordinación con las autoridades responsables de los actos jurídicos sectoriales de la Unión.
  • Designación de las Entidades Clave: Los Estados miembros desempeñan un papel fundamental en la identificación y designación de las entidades que entran en el ámbito de aplicación de la NIS2. Esto incluye:
    • Entidades Esenciales e Importantes: Determinar qué entidades se clasifican como “esenciales” o “importantes” en función de su posible impacto en los servicios esenciales y las funciones sociales.
    • Compilación de Listas de Entidades: Crear y mantener listas de entidades esenciales e importantes, así como de aquellas que proporcionan servicios de registro de nombres de dominio. Estas listas son cruciales para garantizar la transparencia, la supervisión y para asegurar que las entidades sean conscientes de sus obligaciones en virtud de la NIS2. En Italia, la ACN gestiona la lista de sujetos NIS2 y los plazos de inscripción correspondientes.
    • Flexibilidad en la Designación de las Entidades: Los Estados miembros tienen cierta discrecionalidad para designar entidades de menor tamaño con perfiles de riesgo elevado que podrían no cumplir con los umbrales dimensionales generales, pero que aun así merecen ser incluidas en la NIS2.
  • Creación de las Estructuras Nacionales: Además de la designación de las entidades, los Estados miembros son responsables de la creación de estructuras nacionales esenciales para la ciberseguridad:
    • Autoridades Competentes: Designar o establecer una o más autoridades competentes responsables de la ciberseguridad, incluidas aquellas encargadas de supervisar la implementación de la NIS2 y de realizar acciones de vigilancia y aplicación.
    • Puntos de Contacto Únicos (SPOC): Designar o establecer los SPOC como puntos de contacto centrales para la cooperación transfronteriza con otros Estados miembros y para la cooperación intersectorial dentro del Estado miembro.
    • Equipos de Respuesta a Incidentes de Seguridad Informática (CSIRT): Designar o establecer CSIRT para gestionar los incidentes de seguridad informática y las crisis, cooperar con otros CSIRT y proporcionar apoyo a las entidades en su jurisdicción. Para los sujetos NIS, la directiva prevé también una obligación específica de designación del referente CSIRT.

2. Supervisión y Aplicación

  • Poderes de Supervisión: Las autoridades nacionales competentes están dotadas de una serie de poderes de supervisión para garantizar que las entidades cumplan con sus obligaciones en virtud de la NIS2. Estos poderes incluyen:
    • Auditorías Regulares y Específicas: Realizar auditorías para evaluar la adecuación y la implementación de las medidas de gestión del riesgo de ciberseguridad.
    • Controles In Situ y Remotos: Realizar controles, tanto in situ como de forma remota, para verificar el cumplimiento.
    • Solicitud de Información: Solicitar información a las entidades sobre sus prácticas de ciberseguridad, sus políticas de gestión de riesgos y sus procedimientos de respuesta a incidentes.
    • Acceso a Documentos y Pruebas: Obtener acceso a los documentos y pruebas pertinentes para verificar el cumplimiento de la entidad con la NIS2.
  • Medidas de Aplicación: La NIS2 proporciona a las autoridades competentes una serie de medidas de aplicación para abordar el incumplimiento:
    • Instrucciones Vinculantes: Emitir instrucciones vinculantes a las entidades para corregir las deficiencias identificadas y garantizar el cumplimiento.
    • Recomendaciones de Auditoría de Seguridad: Ordenar a las entidades que implementen las recomendaciones derivadas de las auditorías de seguridad.
    • Alineación con los Requisitos NIS2: Obligar a las entidades a cumplir con las medidas de seguridad exigidas por la NIS2.
    • Sanciones Administrativas: Imponer sanciones administrativas por infracciones de las obligaciones de gestión del riesgo de ciberseguridad y de notificación de incidentes. La directiva establece umbrales mínimos para dichas sanciones, distinguiendo entre entidades esenciales e importantes.
    • Medidas Suplementarias: En caso de incumplimiento persistente, las autoridades competentes pueden imponer medidas adicionales, como la suspensión temporal de certificados o autorizaciones, o solicitar la suspensión de miembros de la dirección de la empresa.
  • Factores Considerados para la Aplicación: Al determinar las acciones de aplicación adecuadas, las autoridades competentes deben considerar las circunstancias específicas de cada caso. Los factores relevantes incluyen la gravedad y la duración de la infracción, la intención detrás de la misma, el nivel de cooperación de la entidad y cualquier historial previo de cumplimiento.

3. Facilitación del Intercambio de Información y Cooperación

  • Promoción de los Acuerdos de Intercambio de Información: Los Estados miembros deben fomentar el intercambio de información entre las entidades, incluidas aquellas que podrían no entrar directamente en la NIS2. Esto implica facilitar la creación de acuerdos de intercambio de información y proporcionar orientación sobre los aspectos operativos.
  • Apoyo a la Notificación Coordinada de Vulnerabilidades: Las autoridades nacionales desempeñan un papel en el apoyo a los procesos de notificación coordinada de vulnerabilidades, facilitando la comunicación entre las entidades que descubren vulnerabilidades y los proveedores o prestadores de servicios afectados.
  • Intercambio de Información con las Autoridades Competentes: Las autoridades competentes deben compartir información relevante, como detalles de incidentes de ciberseguridad significativos, con otras autoridades nacionales responsables de la protección de las infraestructuras críticas (Directiva (UE) 2022/2557) y del sector financiero (Reglamento (UE) 2022/2554). Este intercambio de información es esencial para garantizar un enfoque coordinado e integral de la ciberseguridad entre los diferentes sectores.

En resumen, las autoridades nacionales competentes desempeñan un papel central en la traducción de los principios de la NIS2 en acciones concretas. Son responsables de la creación de los marcos nacionales necesarios, de la supervisión de la implementación de las disposiciones de la directiva, de la adopción de medidas de aplicación cuando sea necesario y de la promoción de una cultura de colaboración en materia de ciberseguridad dentro y entre los Estados miembros.

[Callforaction-NIS2-Footer]

In