ISGroup Consultoría de Ciberseguridad

¿Cuál es el papel de la Agencia de la Unión Europea para la Ciberseguridad (ENISA) en relación con la Directiva NIS2?

La Agencia de la Unión Europea para la Ciberseguridad (ENISA) desempeña un papel crucial en el apoyo a la implementación y eficacia de la Directiva NIS2. Sus responsabilidades abarcan diversos ámbitos, desde proporcionar directrices y desarrollar metodologías, hasta facilitar la cooperación y mantener recursos clave para la ciberseguridad.

[Callforaction-NIS2]

A continuación, se presenta una visión general detallada de las contribuciones de ENISA basada en las fuentes disponibles:

1. Directrices y apoyo:

  • Artículo 3, apartado 4: ENISA, en colaboración con la Comisión Europea, tiene el encargo de proporcionar “directrices y modelos” a los Estados miembros sobre la información que las entidades esenciales e importantes deben presentar a las autoridades competentes. Este apoyo simplifica el proceso de identificación y registro de las entidades conforme a la Directiva NIS2.
  • Artículo 4, apartado 3: ENISA asiste a la Comisión en el desarrollo de directrices que aclaren la relación entre la Directiva NIS2 y otros actos jurídicos de la UE en materia de gestión de riesgos y notificación de incidentes de ciberseguridad. Estas directrices son fundamentales para garantizar la coherencia y evitar solapamientos normativos.
  • Artículo 7, apartado 4: ENISA proporciona apoyo a los Estados miembros, a petición de estos, en el desarrollo o actualización de sus estrategias nacionales de ciberseguridad. Este apoyo incluye la creación de indicadores clave de rendimiento (KPI) para evaluar la eficacia de las estrategias en línea con los objetivos de la NIS2.
  • Artículo 10, apartado 12: ENISA puede asistir a los Estados miembros en el desarrollo de sus Equipos de Respuesta a Incidentes de Seguridad Informática (CSIRT), que son fundamentales para la gestión y respuesta ante incidentes de ciberseguridad.
  • Artículo 24, apartado 3: En los casos en que no existan esquemas europeos de certificación de ciberseguridad apropiados, la Comisión puede solicitar a ENISA que prepare una propuesta para dicho esquema. Este papel subraya la experiencia de ENISA en el desarrollo y promoción de estándares de ciberseguridad.
  • Artículo 25, apartado 2: ENISA, en colaboración con los Estados miembros y las partes interesadas, desarrolla documentos de asesoramiento y directrices sobre estándares técnicos y sobre los estándares nacionales e internacionales existentes para la seguridad de los sistemas de red y de información. Esto contribuye a la armonización de las prácticas de ciberseguridad en toda la UE.
  • Artículo 29, apartado 5: ENISA proporciona apoyo para la conclusión de acuerdos de intercambio de información sobre ciberseguridad entre las entidades esenciales e importantes, ofreciendo directrices y facilitando el intercambio de mejores prácticas. Este papel promueve enfoques colaborativos hacia la ciberseguridad.

2. Facilitación de la cooperación e intercambio de información:

  • Artículo 12, apartado 2: ENISA desarrolla y mantiene la base de datos europea de vulnerabilidades, un repositorio central de información sobre vulnerabilidades conocidas públicamente en productos y servicios TIC. Esta base de datos es accesible para todas las partes interesadas, contribuyendo a mejorar la inteligencia sobre amenazas y la gestión de vulnerabilidades.
  • Artículo 14, apartado 2: ENISA es miembro del Grupo de Cooperación NIS, un organismo clave para la cooperación estratégica y el intercambio de información entre los Estados miembros, la Comisión y la propia ENISA.
  • Artículo 15, apartado 2: ENISA proporciona la secretaría para la Red de CSIRT, facilitando la cooperación operativa entre los CSIRT nacionales y apoyando una respuesta rápida y eficaz ante incidentes.
  • Artículo 16, apartado 3: ENISA proporciona la secretaría para la EU-CyCLONe (red de organizaciones de enlace para crisis cibernéticas europeas), apoyando el intercambio seguro de información y la cooperación entre los Estados miembros durante incidentes y crisis de ciberseguridad a gran escala.
  • Artículo 19, apartados 1 y 6: ENISA asiste al Grupo de Cooperación en la elaboración de la metodología y los aspectos organizativos de las revisiones por pares, que evalúan las capacidades de ciberseguridad de los Estados miembros y la implementación de las políticas. ENISA colabora además en el desarrollo de códigos de conducta para los expertos en ciberseguridad involucrados en las revisiones por pares.

3. Informes y análisis:

  • Artículo 18, apartados 1 y 3: ENISA, en colaboración con la Comisión y el Grupo de Cooperación, publica un informe bienal sobre el estado de la ciberseguridad en la UE. Este informe incluye una evaluación del riesgo para la ciberseguridad, una visión general de las estrategias nacionales de ciberseguridad y recomendaciones para mejoras. ENISA desarrolla además la metodología para la evaluación agregada de las capacidades de ciberseguridad a nivel nacional.

4. Influencia indirecta sobre las PYME:

Aunque no están dirigidas directamente a las PYME, las actividades de ENISA en el marco de la NIS2 influyen indirectamente en su postura de ciberseguridad. Por ejemplo, la base de datos europea de vulnerabilidades ofrece una ventaja a todas las partes interesadas, incluidas las PYME, al proporcionar información valiosa sobre inteligencia de amenazas. Además, las empresas más grandes sujetas a la NIS2 deben abordar los riesgos de ciberseguridad dentro de sus cadenas de suministro, lo que anima a las PYME a adoptar prácticas de ciberseguridad más robustas.

En resumen, ENISA desempeña un papel multifuncional y crucial en el apoyo a la implementación y eficacia de la Directiva NIS2. Sus responsabilidades incluyen la provisión de directrices y apoyo a los Estados miembros y a las entidades, la facilitación de la cooperación y el intercambio de información, y la contribución a la mejora general de la ciberseguridad en toda la UE. Para las organizaciones que deben verificar o construir su propio camino de cumplimiento de la Directiva NIS2, conocer el marco institucional en el que opera ENISA es un punto de partida útil, así como entender qué sujetos entran en la lista ACN y qué plazos se aplican. El texto oficial de la Directiva NIS2 sigue siendo la referencia normativa básica para profundizar en cada artículo citado.

[Callforaction-NIS2-Footer]

In