ISGroup Consultoría de Ciberseguridad

Cómo aborda la Directiva NIS2 las necesidades específicas de los diversos sectores

La Directiva NIS2 reconoce que las necesidades en materia de ciberseguridad y los perfiles de riesgo varían significativamente entre los diferentes sectores.

[Callforaction-NIS2]

Por lo tanto, adopta un enfoque sectorial a través de varios mecanismos clave:

  • Ámbito de aplicación definido por sector: El ámbito de aplicación de la directiva se define explícitamente mediante una lista de sectores y subsectores considerados cruciales para la economía y la sociedad de la UE (Anexos I y II de la Directiva NIS2). Esta delimitación sectorial asegura que las obligaciones impuestas por la NIS2 sean pertinentes respecto a los riesgos y desafíos específicos que enfrentan las entidades que operan en dichos sectores.
  • Requisitos de seguridad adaptados al sector: Aunque la NIS2 establece un nivel mínimo de medidas de gestión de riesgos de ciberseguridad aplicable a todas las entidades afectadas, permite una personalización sectorial de dichos requisitos. El Artículo 21, apartado 5, otorga a la Comisión el poder de adoptar actos de ejecución que especifiquen los requisitos técnicos y metodológicos, incluidos los “requisitos sectoriales”, para la implementación de estas medidas de seguridad. Esta flexibilidad reconoce que algunos sectores pueden requerir prácticas de ciberseguridad más detalladas o adaptadas al contexto específico.
  • Notificación de incidentes sobre base sectorial: La NIS2 reconoce que los tipos de incidentes de ciberseguridad considerados “significativos” y, por tanto, sujetos a notificación a las autoridades nacionales, pueden diferir entre sectores. Aunque se proporciona una definición general de “incidente”, el Artículo 23, apartado 11, permite a la Comisión adoptar actos de ejecución para definir con mayor precisión qué constituye un incidente significativo en sectores particulares. Esta disposición permite un enfoque más específico y adaptado a las características sectoriales en la notificación de incidentes.
  • Participación de la experiencia sectorial: La Directiva subraya la importancia de involucrar a expertos del sector en su implementación y supervisión:
    • Grupo de Cooperación NIS: El Artículo 14 establece el Grupo de Cooperación NIS, compuesto por representantes de las autoridades nacionales de ciberseguridad de los Estados miembros. Este grupo desempeña un papel crucial en la promoción de la cooperación estratégica y el intercambio de información entre los Estados miembros sobre cuestiones de ciberseguridad. Es importante destacar que el mandato del grupo incluye la consideración de las “características específicas de cada sector” en el desarrollo de sus opiniones, directrices y mejores prácticas.
    • Red de Organizaciones de Enlace para Crisis Cibernéticas (EU-CyCLONe): La EU-CyCLONe, establecida en virtud del Artículo 16, apoya la gestión coordinada de incidentes y crisis de ciberseguridad a gran escala. Para garantizar que las estrategias de respuesta de la EU-CyCLONe estén alineadas con las necesidades únicas de los diferentes sectores, sus actividades y el intercambio de información pueden involucrar a “comunidades sectoriales o intersectoriales” si fuera necesario.
    • Consulta con las partes interesadas: La Directiva prevé la consulta con las partes interesadas relevantes, incluidas aquellas que representan sectores específicos, en el desarrollo de actos de ejecución y directrices. Esto asegura que las perspectivas sectoriales sean tomadas en cuenta en la aplicación práctica de la NIS2.
  • Coordinación con la legislación sectorial: La NIS2 está diseñada para operar en armonía con la legislación sectorial de la UE existente y futura relativa a la ciberseguridad. El Artículo 4 aclara la relación entre la NIS2 y dicha legislación:
    • Obligaciones equivalentes: Si un acto jurídico sectorial impone obligaciones de gestión de riesgos de ciberseguridad o de notificación de incidentes a entidades esenciales o importantes, y si dichas obligaciones se consideran al menos equivalentes a las previstas por la NIS2, entonces las disposiciones correspondientes de la NIS2 no se aplican a dichas entidades. Esto garantiza que las entidades no estén sujetas a requisitos duplicados o contradictorios. Sin embargo, si la legislación sectorial no cubre a todas las entidades de un sector determinado que de otro modo estarían bajo el ámbito de la NIS2, las disposiciones pertinentes de la NIS2 seguirán aplicándose a aquellas entidades no cubiertas por la legislación sectorial.
    • Armonización y cooperación: Para facilitar una interacción correcta entre la NIS2 y la legislación sectorial, la Comisión proporciona directrices que aclaran los criterios para determinar la equivalencia de las obligaciones. Esto ayuda a garantizar una implementación coherente y minimiza la carga normativa para las empresas. El Grupo de Cooperación NIS desempeña un papel en la promoción de la cooperación y el intercambio de información entre las autoridades nacionales responsables de la NIS2 y aquellas que supervisan las normas sectoriales en materia de ciberseguridad.

Ejemplos de consideraciones sectoriales:

Las fuentes y nuestra conversación destacan cómo la NIS2 responde a las necesidades específicas de los sectores a través de varios ejemplos:

  • Sector financiero: Reconociendo el robusto marco de ciberseguridad ya existente en el sector financiero en virtud de la Ley de Resiliencia Operativa Digital (DORA), la NIS2 exime a las entidades ya sujetas a DORA de las obligaciones de gestión de riesgos de ciberseguridad y de notificación de incidentes. Sin embargo, considerando la naturaleza interconectada de la ciberseguridad, la NIS2 mantiene canales para el intercambio de información y la cooperación entre las autoridades financieras y aquellas responsables de la implementación de la NIS2. Esto asegura que la experiencia del sector financiero contribuya a los esfuerzos de ciberseguridad más amplios y viceversa.
  • Administración pública: La NIS2 reconoce el papel y la estructura únicos de los organismos de la administración pública. Proporciona una definición específica para los organismos públicos y concede a los Estados miembros cierta flexibilidad respecto a su inclusión, en particular a nivel local. La Directiva también prevé exenciones para organismos públicos dedicados a ámbitos sensibles como la seguridad nacional, aunque subraya la importancia de su inclusión para fortalecer la ciberseguridad general en la UE. Este enfoque multifacético reconoce las particularidades del sector público, a la vez que apunta a una cobertura completa de la ciberseguridad.
  • Sector sanitario: La NIS2 incluye explícitamente a las entidades involucradas en la investigación y desarrollo de productos medicinales, incluidas las vacunas, en su ámbito de aplicación. Esta inclusión refleja la importancia creciente de la ciberseguridad en el sector sanitario, especialmente a la luz de la creciente dependencia de las soluciones digitales para la salud y el impacto potencial de los ataques informáticos en la seguridad de los pacientes.

Puntos clave:

  • La Directiva NIS2 adopta un enfoque sectorial hacia la ciberseguridad, reconociendo la diversidad de los riesgos y las necesidades entre los diversos sectores.
  • Define su ámbito de aplicación por sector, permite requisitos de seguridad y notificación de incidentes a medida, fomenta la participación de la experiencia sectorial y apunta a la armonización con la legislación sectorial.
  • Este enfoque específico tiene como objetivo mejorar la eficacia de la Directiva, garantizando que las medidas de ciberseguridad sean proporcionales a los riesgos y adaptadas a las circunstancias específicas de cada sector. Para las organizaciones que deben evaluar su propio perímetro de aplicabilidad e iniciar un camino estructurado de cumplimiento de la NIS2, es útil comenzar con un análisis de las medidas ya implementadas respecto a las obligaciones previstas por la Directiva.

[Callforaction-NIS2-Footer]

In