ISGroup Consultoría de Ciberseguridad

Panorámica de la Directiva NIS 2

La Directiva NIS 2 establece medidas para un alto nivel común de ciberseguridad en toda la Unión Europea. Esta directiva tiene como objetivo mejorar el funcionamiento del mercado interior mediante la elevación de los estándares de ciberseguridad. Si desea comprender cuál es el objetivo principal de la Directiva NIS2, encontrará un análisis detallado en nuestra base de conocimientos.

[Callforaction-NIS2]

Ámbito de aplicación de la Directiva

La Directiva NIS 2 se aplica a una amplia gama de entidades, categorizadas como esenciales o importantes. Estas incluyen, pero no se limitan a:

  • Entidades Esenciales: Especificadas en el Anexo I, operan en sectores cruciales para la economía y la sociedad. Superan el umbral de las medianas empresas. Ejemplos incluyen:
  • Proveedores de electricidad
  • Proveedores de agua
  • Hospitales
  • Proveedores de servicios digitales como mercados en línea y motores de búsqueda.
  • Entidades Importantes: Descritas en los Anexos I y II, operan en sectores considerados menos críticos que las entidades esenciales. Es importante notar que esta categoría incluye entidades identificadas como críticas según la Directiva (UE) 2022/2557. Ejemplos incluyen:
  • Servicios postales y de mensajería
  • Empresas de transformación y distribución alimentaria
  • Organizaciones de investigación

El alcance de la directiva se extiende a las entidades que proporcionan servicios de registro de nombres de dominio, independientemente de su tamaño. Además, los Estados miembros tienen la discreción de aplicar la Directiva NIS 2 a:

  • Entidades de la administración pública a nivel local
  • Instituciones educativas, especialmente aquellas dedicadas a actividades de investigación críticas.

Principales disposiciones de la Directiva NIS 2

  • Estrategias Nacionales de Ciberseguridad: Los Estados miembros están obligados a desarrollar estrategias nacionales de ciberseguridad. Estas estrategias definen las prioridades y objetivos para mejorar la ciberseguridad dentro del Estado miembro y el marco de gobernanza para alcanzar dichos objetivos.
  • Notificación de incidentes: Tanto las entidades esenciales como las importantes están obligadas a notificar incidentes significativos de ciberseguridad a su CSIRT (Equipo de Respuesta a Incidentes de Seguridad Informática) designado o a la autoridad competente. La directiva detalla un enfoque en varias fases para la notificación de incidentes:
  • Alerta temprana: Las entidades deben proporcionar una alerta temprana, normalmente dentro de las 24 horas siguientes al momento en que tengan conocimiento de un incidente significativo.
  • Notificación del incidente: Se requiere una notificación más detallada del incidente, incluida una evaluación inicial, normalmente dentro de las 72 horas.
  • Informe final: Se debe presentar un informe final que incluya un análisis detallado y las medidas de mitigación dentro del mes siguiente a la notificación del incidente.
  • Medidas de gestión de riesgos: Las entidades esenciales e importantes están obligadas a implementar medidas técnicas, operativas y organizativas apropiadas y proporcionadas para gestionar los riesgos de ciberseguridad. Para las organizaciones que necesitan estructurar o verificar su proceso de adecuación, el soporte de cumplimiento NIS2 de ISGroup acompaña el análisis de brechas y la implementación de las medidas requeridas. Estas medidas incluyen, pero no se limitan a:
  • Análisis de riesgos y políticas de seguridad de los sistemas de información
  • Gestión de incidentes
  • Continuidad operativa y gestión de crisis
  • Seguridad de la cadena de suministro
  • Seguridad de los recursos humanos
  • Medidas de supervisión: La Directiva NIS 2 otorga a las autoridades competentes el poder de supervisar a las entidades esenciales e importantes para garantizar el cumplimiento. Para las entidades esenciales, estas medidas de supervisión incluyen:
  • Inspecciones in situ
  • Auditorías de seguridad
  • Emisión de instrucciones vinculantes
  • Medidas de ejecución: En caso de incumplimiento, la Directiva NIS 2 prevé una serie de medidas de ejecución, entre ellas:
  • Sanciones administrativas
  • Amonestaciones públicas
  • Suspensión temporal de actividades o retirada de derechos

Relación con las leyes sectoriales específicas

La Directiva NIS 2 reconoce que leyes sectoriales específicas de la UE podrían imponer obligaciones de ciberseguridad. Si estas obligaciones tienen un efecto al menos equivalente a las previstas por la Directiva NIS 2, las disposiciones correspondientes de la directiva, incluidas las relativas a la supervisión y ejecución, no se aplican a dichas entidades.

Por ejemplo:

La Directiva NIS 2 no se aplica a las entidades financieras bajo el ámbito del Reglamento (UE) 2022/2554. Esto se debe a que dicho reglamento tiene disposiciones equivalentes, si no más completas, para la resiliencia operativa digital en el sector financiero. Sin embargo, los Estados miembros siguen estando obligados a incluir a las entidades financieras al considerar incidentes de ciberseguridad a gran escala y desarrollar planes de respuesta nacionales.

Para las organizaciones que entran en el perímetro NIS2 y aún deben verificar su posición respecto al listado de sujetos NIS2 gestionado por la ACN, es útil consultar también las indicaciones operativas sobre la designación del referente CSIRT, uno de los cumplimientos requeridos por la directiva.

[Callforaction-NIS2-Footer]

In