Según la Directiva NIS2, los Estados miembros tienen la facultad de exigir que las entidades esenciales e importantes utilicen productos, servicios y procesos TIC certificados para demostrar el cumplimiento de las medidas específicas de gestión de riesgos de ciberseguridad previstas en el Artículo 21. Este requisito se aplica a los productos, servicios y procesos TIC desarrollados internamente por estas entidades o adquiridos a proveedores externos. Para las organizaciones que están iniciando o consolidando su proceso de adaptación a la NIS2, comprender cuándo y cómo se aplica la obligación de certificación es uno de los pasos operativos fundamentales.
La certificación debe realizarse en el marco de los sistemas europeos de certificación de la ciberseguridad establecidos de conformidad con el Artículo 49 del Reglamento (UE) 2019/881.
La directiva también fomenta el uso de servicios de confianza cualificados por parte de las entidades esenciales e importantes.
Directiva NIS2 y TIC: Cuándo se requiere la certificación
Según la Directiva NIS2, la Comisión puede adoptar actos delegados para especificar las categorías de entidades esenciales e importantes obligadas a utilizar productos, servicios y procesos TIC certificados o a obtener una certificación en el marco de un esquema europeo de certificación de la ciberseguridad. Estos actos delegados se adoptarán cuando se identifiquen niveles insuficientes de seguridad informática e incluirán un periodo de implementación. Además, se definirán las modalidades para garantizar un enfoque armonizado entre los Estados miembros, evitando discrepancias en la aplicación de las medidas.
Evaluación y consulta antes de los actos delegados
Antes de adoptar actos delegados, la Comisión llevará a cabo una evaluación de impacto y consultará a las partes interesadas, tal como prevé el Artículo 56 del Reglamento (UE) 2019/881. La consulta servirá para recabar opiniones de operadores del sector, expertos en seguridad informática e instituciones nacionales, asegurando que las nuevas disposiciones sean eficaces y realistas.
Gestión de la falta de sistemas de certificación adecuados
En caso de que no existan sistemas de certificación europea de ciberseguridad adecuados, la Comisión puede solicitar a la ENISA que desarrolle una propuesta para un nuevo sistema de conformidad con el Artículo 48(2) del Reglamento (UE) 2019/881. Esta solicitud se realizará en consulta con el Grupo de Cooperación y el Grupo Europeo de Certificación de la Ciberseguridad. Durante este proceso, se evaluarán las necesidades específicas de las entidades involucradas y la eficacia de las soluciones existentes, garantizando un sistema que responda a los desafíos emergentes en materia de seguridad informática. Para obtener una visión más amplia sobre el perímetro y los objetivos de la Directiva NIS2, es útil partir del contexto general antes de profundizar en las obligaciones técnicas individuales.
[Callforaction-NIS2-Footer]