ISGroup Consultoría de Ciberseguridad

¿En qué se diferencia la Directiva NIS2 de la Directiva NIS1?

La Directiva NIS2 representa una evolución significativa respecto a la Directiva NIS1. Si deseas entender cuál es el objetivo principal de la Directiva NIS2, es útil partir primero de las diferencias estructurales respecto al marco anterior.

[Callforaction-NIS2]

Aquí tienes un análisis de las principales diferencias:

Ámbito de aplicación ampliado y umbrales dimensionales

  • La Directiva NIS2 amplía notablemente el número de sectores y entidades sujetos a sus normativas en materia de ciberseguridad. Mientras que la NIS1 se centraba en siete sectores críticos, la NIS2 extiende la cobertura a once sectores considerados “altamente críticos” y añade otros siete “sectores críticos”. Esta ampliación refleja la creciente digitalización e interconexión de diversos sectores y su impacto en la economía y la sociedad de la UE.
  • Además, la NIS2 introduce un umbral dimensional, imponiendo que todas las empresas de medianas y grandes dimensiones en los sectores designados deban cumplir con sus normativas. Este cambio asegura un enfoque más completo de la ciberseguridad, reconociendo que las amenazas pueden surgir de entidades de cualquier tamaño. Sin embargo, los Estados miembros mantienen la flexibilidad de identificar e incluir también entidades más pequeñas con perfiles de riesgo potencialmente elevados.

Clasificación de las entidades y regímenes de supervisión

  • La NIS2 abandona la distinción anterior entre “operadores de servicios esenciales” y “proveedores de servicios digitales”. En su lugar, implementa un sistema de clasificación más ágil basado en la importancia de la entidad: “entidades esenciales” y “entidades importantes”. Esta categorización permite regímenes de supervisión más específicos y apropiados, alineando la vigilancia regulatoria con el impacto potencial de los incidentes de ciberseguridad.

Requisitos de seguridad y de notificación reforzados y simplificados

  • La NIS2 promueve una mayor coherencia y rigor en las medidas de seguridad y en la notificación de incidentes entre los Estados miembros, abordando una limitación significativa de la Directiva NIS1. La Directiva impone un enfoque de gestión de riesgos que define una base mínima de elementos de seguridad fundamentales que todas las empresas deben adoptar. Estos incluyen la gestión de incidentes, la seguridad de la cadena de suministro, la gestión y divulgación de vulnerabilidades y el uso de la criptografía (y del cifrado, donde sea aplicable). Para las organizaciones que deben estructurar o verificar su camino de adecuación, el soporte para la conformidad NIS2 puede ayudar a identificar las brechas respecto a los requisitos mínimos y a planificar las intervenciones necesarias.
  • La Directiva introduce un enfoque multifase para la notificación de incidentes, encontrando un equilibrio entre la notificación oportuna y un análisis profundo. Las empresas tienen ahora 24 horas para presentar un “aviso temprano” inicial al CSIRT (Equipo de Respuesta a Incidentes de Seguridad Informática) o a la autoridad nacional competente una vez detectado un incidente. Una notificación detallada debe seguir en un plazo de 72 horas, culminando en un informe final presentado en el plazo de un mes desde el incidente.

Refuerzo de la aplicación y del régimen sancionador

  • Reconociendo la aplicación inconsistente de las sanciones prevista por la NIS1, la NIS2 establece un marco más sólido y armonizado para las sanciones en todos los Estados miembros. Introduce una lista mínima de sanciones administrativas por el incumplimiento de las obligaciones de gestión de riesgos y de notificación, entre las que se incluyen:
    • Instrucciones vinculantes
    • Implementación obligatoria de las recomendaciones de las auditorías de seguridad
    • Órdenes de adecuación de las medidas de seguridad a los requisitos de la NIS2
    • Sanciones administrativas

Refuerzo de la cooperación y el intercambio de información

  • La NIS2 refuerza la cooperación estratégica y operativa entre los Estados miembros, reconociendo el aumento de la interconexión de las amenazas informáticas y la necesidad de una respuesta coordinada. Amplía el papel del Grupo de Cooperación, facilitando decisiones políticas estratégicas más sólidas y un intercambio de información entre las autoridades nacionales de ciberseguridad.
  • Refuerza la red CSIRT, mejorando la cooperación operativa entre los CSIRT nacionales para garantizar respuestas rápidas y eficaces a los incidentes transfronterizos. Además, la NIS2 establece EU-CyCLONe (Red de Organizaciones de Enlace de Ciber-Crisis Europeas), que desempeña un papel crucial en la coordinación de la gestión de incidentes y crisis de ciberseguridad a gran escala en toda la UE.

Enfoque en la seguridad de la cadena de suministro

  • La NIS2 aborda un aspecto crucial de la ciberseguridad a menudo descuidado en las normativas anteriores: la seguridad de la cadena de suministro. Impone que las empresas individuales aborden los riesgos informáticos dentro de sus cadenas de suministro y relaciones con proveedores. Además, permite a los Estados miembros, en colaboración con la Comisión y la ENISA, realizar evaluaciones coordinadas de los riesgos de seguridad de las cadenas de suministro críticas a nivel de la UE, basándose en el modelo utilizado para la ciberseguridad de las redes 5G.

Divulgación coordinada de vulnerabilidades y Base de datos de vulnerabilidades de la UE

  • Para promover un enfoque más proactivo de la ciberseguridad, la NIS2 establece un marco para la divulgación coordinada de vulnerabilidades, involucrando a las principales partes interesadas en toda la UE. Este marco permite la notificación y la gestión responsable de las vulnerabilidades recién descubiertas en productos y servicios TIC. Además, la NIS2 prevé la creación de una base de datos de vulnerabilidades de la UE gestionada por ENISA, centralizando la información sobre vulnerabilidades conocidas públicamente para mejorar la concienciación y la preparación general en materia de ciberseguridad.

Preguntas frecuentes

  • ¿Cómo sé si mi empresa entra en el perímetro de la NIS2?
  • El perímetro depende del sector de actividad y del tamaño de la organización. La NIS2 se aplica, por norma general, a las medianas y grandes empresas en los sectores “altamente críticos” y “críticos” enumerados por la Directiva. En Italia, la ACN gestiona el proceso de inscripción y notificación: puedes consultar las indicaciones de la ACN sobre la lista NIS2 y los plazos de conformidad para verificar los criterios aplicables a tu organización.
  • ¿Cuál es la diferencia práctica entre “entidad esencial” y “entidad importante”?
  • La distinción no es solo una etiqueta: las entidades esenciales están sujetas a una vigilancia ex ante más estricta, mientras que las entidades importantes son controladas principalmente ex post. Las sanciones máximas aplicables difieren entre ambas categorías. El texto íntegro de la Directiva puede consultarse en el documento oficial de la Directiva NIS2.
  • ¿Qué sucede si una empresa no notifica un incidente en los plazos previstos?
  • La falta de notificación en los plazos establecidos (aviso temprano en 24 horas, notificación detallada en 72 horas) expone a la organización a las sanciones administrativas previstas por la NIS2, que incluyen instrucciones vinculantes, órdenes de adecuación y, en los casos más graves, sanciones pecuniarias significativas. El cumplimiento de los plazos de notificación es una de las obligaciones verificadas por las autoridades competentes.

[Callforaction-NIS2-Footer]

In