ISGroup Consultoría de Ciberseguridad

¿Cuáles son los elementos clave de la Directiva NIS2?

La Directiva NIS2 busca fortalecer la postura de ciberseguridad de la Unión Europea abordando las limitaciones de la legislación anterior y adaptándose al panorama de amenazas en constante evolución. Amplía el alcance de las normativas de ciberseguridad, impone requisitos de seguridad y notificación más estrictos, y refuerza los mecanismos de supervisión y aplicación.

Estos son algunos de los elementos clave de la Directiva NIS2:

1. Alcance ampliado

La directiva amplía el rango de sectores y entidades sujetos a las obligaciones de ciberseguridad. Introduce un umbral basado en el tamaño, exigiendo que todas las empresas medianas y grandes en los sectores seleccionados cumplan con las disposiciones de la directiva. Esto representa un cambio significativo respecto a la anterior Directiva NIS, que se centraba en sectores críticos específicos y dejaba a los Estados miembros la identificación de las entidades “esenciales”.

  • La Directiva NIS2 identifica dos categorías principales de sectores: “sectores de alta criticidad” y “otros sectores críticos”, enumerados en los Anexos I y II de la directiva. La inclusión de nuevos sectores, como el espacio, la gestión de residuos y la alimentación, refleja la creciente interconexión y digitalización de los servicios esenciales, así como el mayor potencial de los ciberataques para interrumpir funciones sociales críticas.
  • Los Estados miembros mantienen cierta discrecionalidad para identificar entidades más pequeñas con perfiles de alto riesgo que deberían entrar en el ámbito de la Directiva NIS2, lo que permite una implementación adaptada a los contextos nacionales y a las evaluaciones de riesgos específicas del sector.

[Callforaction-NIS2]

2. Enfoque de gestión de riesgos

La directiva promueve un marco basado en la gestión de riesgos en lugar de un enfoque puramente de cumplimiento. Las entidades que entran en el ámbito de la directiva deben implementar medidas que aborden diversos aspectos de la ciberseguridad, entre ellos:

  • Gestión de incidentes
  • Seguridad de la cadena de suministro
  • Gestión y divulgación de vulnerabilidades
  • Uso de la criptografía y el cifrado

Para entender cómo estos requisitos se traducen en controles técnicos concretos, es útil consultar también los estándares de ciberseguridad a los que hace referencia la Directiva NIS2.

3. Requisitos estandarizados de seguridad y notificación

Para garantizar una mayor coherencia en la implementación y reducir la carga para las empresas que operan en varios Estados miembros de la UE, la directiva establece disposiciones más precisas sobre los requisitos de seguridad y la notificación de incidentes.

  • Medidas mínimas de ciberseguridad: La directiva describe una lista de diez elementos clave que todas las entidades cubiertas deben abordar en sus políticas de gestión de riesgos de ciberseguridad. Esto incluye medidas como el análisis de riesgos, la planificación de la respuesta a incidentes, la continuidad operativa y la seguridad de la cadena de suministro.
  • Notificación de incidentes: Se proporcionan directrices más claras sobre los procesos de notificación de incidentes, su contenido y los plazos. La directiva exige a las entidades enviar una alerta preliminar al CSIRT o a la autoridad competente en un plazo de 24 horas desde el momento en que tengan conocimiento de un incidente significativo, seguida de una notificación más detallada en un plazo de 72 horas y un informe final en el plazo de un mes.

4. Supervisión y aplicación reforzadas

La directiva introduce medidas de supervisión más estrictas para las autoridades nacionales y establece requisitos de aplicación más severos. Para las organizaciones que deseen evaluar su nivel de cumplimiento y prepararse para las obligaciones, el proceso de adecuación a la NIS2 ofrece un soporte estructurado desde el análisis de brechas (gap analysis) hasta la implementación de los controles requeridos.

  • Medidas de supervisión: Las autoridades competentes disponen de una gama más amplia de herramientas para supervisar tanto a las entidades esenciales como a las importantes, incluyendo auditorías regulares y específicas, inspecciones in situ y remotas, solicitudes de información y acceso a la documentación relevante.
  • Sanciones armonizadas: Para abordar la reticencia previa de algunos Estados miembros a imponer sanciones por incumplimiento, la directiva armoniza el régimen sancionador en toda la UE. Establece una lista mínima de sanciones administrativas, incluyendo instrucciones vinculantes, auditorías de seguridad obligatorias y multas. La directiva diferencia entre entidades esenciales e importantes en cuanto al nivel de las multas administrativas por infracciones.
  • Responsabilidad: Se refuerza la responsabilidad en materia de medidas de ciberseguridad introduciendo disposiciones sobre la responsabilidad de los individuos en puestos de alta dirección dentro de las entidades esenciales e importantes.

5. Cooperación e intercambio de información mejorados

La directiva tiene como objetivo mejorar la cooperación y el intercambio de información entre los Estados miembros, las autoridades competentes y las entidades.

  • Grupo de Cooperación: Se refuerza el papel del Grupo de Cooperación existente, compuesto por las autoridades nacionales de ciberseguridad, en la configuración de decisiones políticas estratégicas y en la coordinación de las respuestas a los desafíos de ciberseguridad a nivel de la UE.
  • Red CSIRT: La directiva mejora la cooperación operativa dentro de la red CSIRT existente, fomentando el intercambio rápido y eficiente de información y mejores prácticas entre los CSIRT nacionales para fortalecer las capacidades de respuesta ante incidentes.
  • EU-CyCLONe: La directiva establece una red europea de enlace para crisis cibernéticas (EU-CyCLONe), encargada de apoyar la gestión coordinada de incidentes y crisis de ciberseguridad a gran escala, garantizando una respuesta rápida y unificada a nivel de la UE.

6. Divulgación coordinada de vulnerabilidades y base de datos de la UE

Se introduce un marco para la divulgación coordinada de vulnerabilidades, destinado a crear un enfoque más estructurado y seguro para la gestión de las nuevas vulnerabilidades descubiertas en productos y servicios TIC. Este marco fomenta la notificación responsable de vulnerabilidades a los proveedores y promueve la colaboración entre investigadores de seguridad, proveedores y autoridades para mitigar eficazmente los riesgos.

La directiva también prevé la creación de una base de datos de vulnerabilidades de la UE, mantenida por ENISA, que servirá como repositorio central para las vulnerabilidades públicamente conocidas en productos y servicios TIC. Esta base de datos será un recurso valioso para que las entidades se mantengan informadas sobre posibles amenazas, apliquen las actualizaciones de seguridad necesarias y mejoren su postura general de ciberseguridad.

En resumen, la Directiva NIS2 introduce cambios significativos diseñados para fortalecer el marco de ciberseguridad de la UE. Al ampliar su alcance, reforzar los requisitos de seguridad y notificación, y mejorar los mecanismos de supervisión y aplicación, la directiva busca crear un entorno más resiliente desde el punto de vista cibernético para los servicios esenciales y las infraestructuras críticas en toda la Unión Europea. El texto oficial de la Directiva NIS2 sigue siendo la referencia normativa primaria para quienes deban verificar los detalles de las disposiciones.

[Callforaction-NIS2-Footer]

In