Directiva NIS2 y la ciberseguridad. Un compromiso para todos

ciberseguridad

Tabla de contenidos

La Directiva NIS (Network and Information Security) inicialmente marcó un hito legislativo en la Unión Europea en el ámbito de la ciberseguridad. Las revisiones de la más reciente versión, NIS2, buscan coordinar la ciberseguridad en toda la UE, introduciendo nuevos términos y requisitos para los Estados miembros.

NIS2

La adopción oficial de la Directiva NIS2 tuvo lugar tanto en el Parlamento como en el Consejo en noviembre de 2022, y su implementación efectiva comenzó el 16 de enero de 2023. Los Estados miembros tienen el plazo hasta el 17 de octubre de 2024 para integrar en sus leyes nacionales los elementos esenciales, estrategias y requisitos de informes obligatorios establecidos por la NIS2.

¿A quién afecta?

La Directiva NIS 2 aplica a un total de 18 sectores, los cuales se dividen en:

  • Sectores de Alta Criticidad: energía, banca, infraestructuras de mercados financieros, sector sanitario, transporte, infraestructura digital, aguas potables, aguas residuales, administración pública (con exclusión del poder judicial, parlamentos y bancos centrales), gestión de servicios TIC (B2B) y espacio.
  • Otros sectores críticos: investigación, química, alimentación, servicios postales, proveedores digitales, fabricación y gestión de residuos.

Además, se distinguen dos tipos de entidades:

  • Entidades esenciales, que serán aquellas que pertenezcan a los sectores de alta criticidad, así como los prestadores cualificados de servicios de confianza y registros de nombres de dominio de primer nivel y proveedores de servicios de DNS, independientemente de su tamaño. También serán entidades de este tipo los proveedores de redes públicas de comunicaciones electrónicas o de servicios de comunicación electrónicos disponibles para el público que sean consideradas medianas empresas, entidades de la Administración pública, cualquier otra entidad perteneciente a otros sectores críticos que el Estado miembro identifique como entidad esencial, las entidades críticas identificadas por la Directiva CER, y, si así lo dispone el Estado miembro, las entidades identificadas como operadores de servicios esenciales de conformidad con la anterior Directiva NIS.
  • Entidades importantes, que serán todas aquellas entidades que pertenezcan a los sectores de alta criticidad o a otros sectores críticos que no pueden considerarse entidades esenciales

esquema nis 2 1

¿Cómo cumplir la Directiva NIS2?

El artículo 23 de la Directiva NIS2 establece que los Estados miembros deben garantizar que las entidades esenciales e importantes informen a su CSIRT de referencia o a la autoridad competente sobre cualquier incidente que tenga un impacto significativo en la prestación de sus servicios. En caso de que dicho incidente pueda afectar a usuarios del servicio esencial, la entidad también debe notificarlo a dichos usuarios.

Además, se debe comunicar a los destinatarios del servicio que puedan verse afectados por una ciberamenaza significativa las medidas o soluciones que pueden aplicar en respuesta a la amenaza.

Un incidente con impacto significativo se define como aquel que ha causado o puede causar graves perturbaciones operativas de los servicios o pérdidas económicas para la entidad afectada, y que ha afectado o puede afectar a otras personas físicas o jurídicas al causar perjuicios materiales o inmateriales considerables.

El flujo de notificación propuesto implica que las entidades afectadas por un incidente con impacto significativo deben notificar, sin demora indebida, al CSIRT o, en su defecto, a la autoridad competente, en un plazo de 24 horas desde que tuvieron conocimiento del incidente. La notificación incluirá una alerta temprana indicando, cuando sea apropiado, si se sospecha que el incidente responde a una acción ilícita o malintencionada o puede tener repercusiones transfronterizas. En un plazo de 24 horas tras esta notificación, el CSIRT o la autoridad competente ofrecerán orientación o asesoramiento operativo sobre la aplicación de posibles medidas paliativas.

Pasadas 72 horas desde la detección del incidente, las entidades deben actualizar el estado del incidente, proporcionando una evaluación inicial que incluya su gravedad e impacto, así como indicadores de compromiso si están disponibles.

Finalmente, a más tardar un mes después de la notificación del incidente, las entidades deben presentar un informe final que describa detalladamente el incidente, incluyendo su gravedad e impacto, el tipo de amenaza o causa principal que probablemente haya desencadenado el incidente, las medidas paliativas aplicadas y en curso, y, cuando sea pertinente, las repercusiones transfronterizas del incidente. En caso de que el incidente siga en curso en el momento de la presentación del informe final, los Estados miembros deben garantizar que las entidades afectadas presenten un informe de situación en ese momento y un informe final en el plazo de un mes a partir de que se haya gestionado el incidente.

Obligaciones y especificaciones

Según lo establecido en los artículos 34 y 36, los Estados miembros tienen la facultad de aplicar sanciones administrativas a las entidades que no cumplan con los requisitos de la Directiva NIS-2, especialmente los establecidos en los artículos 21 y 23, que se refieren a las medidas para la gestión de riesgos de ciberseguridad y las obligaciones de notificación, respectivamente.

Estas sanciones deben ser eficaces, proporcionadas y disuasorias, teniendo en cuenta las circunstancias específicas de cada caso. Al llevar a cabo la transposición y establecer el régimen sancionador, los Estados miembros utilizarán como referencia las siguientes cuantías según el tipo de entidad:

  • Para entidades esenciales, las sanciones pueden alcanzar, eligiendo la de mayor cuantía, hasta 10.000.000 €. Un máximo del 2% del volumen de negocio anual total a nivel mundial del ejercicio financiero anterior.
  • Para entidades importantes, las sanciones pueden alcanzar, eligiendo la de mayor cuantía, hasta 7.000.000 €. Un máximo del 1.4% del volumen de negocio anual total a nivel mundial del ejercicio financiero anterior.

Los Estados miembros deben comunicar a la Comisión Europea, a más tardar el 17 de enero de 2025, el régimen de sanciones aplicables por incumplimiento.

Si quieres conocer más sobre esta Directiva y como podemos ayudarte. Ayscom es el lugar indicado, escríbenos y te daremos toda la información necesaria.  

Autor: Ayscom