La Unión Europea sube el listón con la Directiva NIS 2
La Directiva NIS 2 (Network and Information Security) data del 27 diciembre de 2022, tal y como el Reglamento DORA son un paso más en la regulación de la ciberseguridad en la UE. Como ya sabemos, Estados Unidos innova, China copia y Europa se dedica a regular.
Este exceso de regulación nos obliga a estar más al día si cabe, para cumplir con toda la normativa existente, pero sobre todo, para evitar cualquier posible brecha de seguridad informática que podamos tener en nuestras empresas.
¿Qué es la Directiva NIS 2?
La Directiva NIS2 es la legislación sobre ciberseguridad aplicable en toda la UE. NIS2 es una actualización de la anterior Directiva sobre Seguridad de las Redes y los Sistemas Informáticos (NIS). Su objetivo es crear un nivel común de ciberseguridad en todos los Estados miembros de la Unión Europea.
Esta Directiva (2022/2555) entró en vigor en España el pasado 5 de enero de 2023, por lo que ya es de obligado cumplimiento para todas las empresas y organismos públicos en nuestro país. En realidad viene a actualizar la anterior Directiva NIS que data de 2016, y trata de establecer un marco común de ciberseguridad dentro de la Unión Europea.
La transposición de la citada Directiva NIS al ordenamiento jurídico español se llevó a cabo mediante el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información. El INCIBE en el cuadro de abajo, nos hace algunas recomendaciones para la gestión de los riesgos de ciberseguridad en función del articulado de la NIS2.

Por tanto, la aplicación de la NIS 2 nos debe permitir mejorar la gestión de riesgos y la política de seguridad de la empresa, así como los incidentes que ocurran, para que no haya afecciones a la continuidad del negocio ni a la seguridad de la cadena de suministro.
Se debe adquirir, desarrollar los sistemas y redes necesarios para garantizar la seguridad y la eficacia de las medidas, así como concienciar y formar a los empleados en ciberseguridad. El cifrado de datos para proteger el Know-How es otro aspecto a considerar, junto el control por parte de los Recursos Humanos de la empresa de los accesos y la autenticación y transferencia de información entre los stakeholders autorizados.
Objetivos de la Directiva NIS 2
El principal objetivo de la Directiva NIS es reforzar la seguridad informática en todos los sectores que utilicen la tecnología de la información y las comunicaciones (TICs), que prácticamente son la inmensa totalidad de las compañías, a día de hoy.
Dentro de la Directiva, se considera algunos sectores como críticos, donde hay que poner especial énfasis en la protección y defensión de los mismos. Los principales son: energía (sistemas urbanos de calefacción, electricidad, refrigeración, crudo, gas o hidrógeno); transporte (aéreo, marítimo, carretera, fluvial y ferrocarril); banca, entidades de crédito y servicios financieros; sector sanitario; aguas potables y residuales; Administraciones Públicas; Servicios postales i Infraestructuras de la Información.
¿Me afecta la Directiva NIS 2?
La Directiva NIS2 se aplica a todas las empresas que operen en la Unión Europea, incluidas todas las entidades públicas y privadas del mercado interior que cumplan funciones importantes para la economía y la sociedad en su conjunto, las cuales deben adoptar medidas adecuadas de ciberseguridad.
Es decir, es de obligado cumplimiento para todas las empresas que se encuentren dentro de los dos sectores nombrados en ella: los sectores críticos y aquellos de alta criticidad.
Sectores de Alta Criticidad (11): Energía, banca, infraestructuras de mercados financieros, sector sanitario, transporte, infraestructura digital, aguas potables, aguas residuales, administración pública (con exclusión del poder judicial, parlamentos y bancos centrales), gestión de servicios TIC (Business to Business) y espacio.
Sectores Críticos (7): Investigación, química, alimentación, servicios postales, proveedores digitales, fabricación y gestión de residuos.
Por tanto, si te encuentras dentro de algunos de estos sectores es de obligado cumplimiento, mientras que si no lo estás, es altamente recomendable, en cualquier caso.
Diferencias entre la Directiva NIS 2, DORA y CER
Para más información sobre el reglamento DORA, podeis consultar nuestro enlace al respecto en nuestro Blog.
Esta Directiva (DORA), está más centrada en el sector financiero, mientras que la NIS 2, como hemos visto, alcanza un espectro mucho más amplio de sectores críticos y extremadamente críticos para el buen funcionamiento de un país.
Por su parte, CER se centra en mejorar la resiliencia física de las instalaciones de entidades críticas. Las entidades afectadas por CER son muy similares a las de alta criticidad de NIS 2 y son identificadas por las autoridades. Aunque no están sujetas a sanciones administrativas, tendrán también un régimen sancionador específico.
El futuro reglamentario de la UE
El Reglamento de Ciberresilencia (CRA) es la Directiva futura que pretende mejorar la capacidad para restaurar rápidamente las plataformas digitales, adaptar y recuperar los sistemas de misión crítica para evitar la interrupción de la actividad empresarial.
El Parlamento Europeo ratificó el acuerdo político sobre la propuesta de Reglamento de Ciberresiliencia (CRA por sus siglas en inglés) que tiene como objetivo garantizar que los productos con elementos digitales sean seguros de usar, resistentes a las amenazas cibernéticas y proporcionen suficiente información sobre sus propiedades de seguridad.
A modo de recapitulación, la normativa se centra en los productos con elementos digitales y los define de una manera general, para incluir tanto a productos de hardware como de software, tales como antivirus, juguetes conectados a la red, electrodomésticos, o routers wi-fi.
La CRA pretende mejorar el nivel de ciberseguridad de los productos digitales en beneficio de los consumidores y empresas de la Unión Europea al introducir requisitos de ciberseguridad obligatorios para todos los equipos y programas informáticos.
De igual forma, la normativa obligará a los fabricantes a proporcionar a los consumidores las actualizaciones de seguridad que resulten oportunas incluso años después de la fecha de compra.
Estas obligaciones se traducen en que los actores dentro de la cadena de valor (esto es, fabricantes, importadores, distribuidores y, en su caso, los representantes autorizados) deban garantizar que:
- Los productos con elementos digitales comercializados en la UE sean más seguros;
- Se garantice la ciberseguridad de los productos con elementos digitales durante todo su ciclo de vida;
- Los consumidores estén debidamente informados sobre la ciberseguridad de los productos que compran y utilizan.
En línea con las recientes normativas europeas, el incumplimiento de la CRA puede conllevar la imposición de elevadas sanciones entorno a los 15 millones de euros o el 2,5% del volumen de negocios global del infractor.
Tras su publicación oficial, la norma entrará en vigor a los veinte días y la mayoría de sus serán aplicables a los tres años de dicha entrada en vigor, si bien se prevé un plazo inferior para la aplicabilidad de algunos preceptos.
Más info:
https://www.computing.es/a-fondo/nis-2-que-conlleva-esta-directiva-ciberseguridad/
https://www2.deloitte.com/es/es/pages/risk/articles/directiva-cer.html