NIS 2: Comprendiendo la nueva directiva de ciberseguridad de la UE

Después de la implementación de la Directiva de Seguridad de Redes e Información (NIS) en 2016, la Unión Europea ha adoptado una postura más estricta al ampliar y fortalecer el marco regulatorio y la participación de entidades en sus esfuerzos por aumentar los niveles de ciberseguridad en Europa. ¿Qué podemos esperar de la Directiva NIS2? A continuación, abordaremos algunas preguntas clave y sus respuestas.

¿Cuál fue el propósito de la primera Directiva NIS?

La Directiva NIS, adoptada en 2016, fue la primera legislación sobre ciberseguridad aplicable a todos los Estados miembros de la Unión Europea. Se centró principalmente en dos grupos de organizaciones: los operadores de servicios esenciales (OSE), como los sectores de salud, transporte y energía, y los proveedores de servicios digitales (PSD), incluyendo motores de búsqueda en línea, mercados de Internet y servicios en la nube.

La Directiva NIS exigía que estas organizaciones cumplieran con las medidas de seguridad adecuadas e informaran cualquier incidente importante de ciberseguridad que experimentaran. Además, permitió a los estados miembros considerar sus circunstancias nacionales en la implementación de la directiva. Su objetivo principal era mejorar la ciberseguridad de las empresas europeas, estableciendo una autoridad NIS nacional, requiriendo la creación de Equipos de Respuesta a Incidentes de Seguridad Informática (CSIRT) y fomentando la cooperación estratégica a través de Grupos de Cooperación conformados por los estados miembros de la UE, la Comisión Europea y la Agencia de Ciberseguridad de la UE (ENISA).

¿Qué es NIS2?

La Directiva NIS2 amplía la directiva anterior, incluyendo una mayor variedad de organizaciones de diferentes sectores y, por primera vez, considerando la seguridad de la cadena de suministro de Tecnologías de la Información y la Comunicación (TIC). Su creación se basa en años de desarrollo en el ámbito de la ciberseguridad europea y en los desafíos recientes en este campo. Durante la pandemia de COVID-19, los ciberataques aumentaron un 220 % en los estados miembros de la UE, y en España, por ejemplo, los ciberdelitos aumentaron un 352% desde 2015, según un informe emitido por el Ministerio del Interior. Estos datos evidencian que la Directiva NIS original pudo haber tenido un alcance limitado.

El objetivo de NIS2 es fortalecer aún más la ciberseguridad en los estados miembros de la UE, mejorar la conciencia situacional conjunta y aumentar la capacidad de la UE para abordar colectivamente los problemas de seguridad cibernética mediante la mejora del intercambio de información entre diferentes sectores y países. NIS2 busca reducir las diferencias existentes entre los estados y sectores, presentando un plan estratégico unificado en respuesta a una amplia variedad de amenazas de seguridad cibernética. En comparación con NIS1, NIS2 introduce medidas de supervisión más estrictas para las autoridades nacionales y requisitos de aplicación más rigurosos.

¿Qué empresas se incluyen en NIS2?

NIS2 abarca casi todas las medianas y grandes empresas que operan en el mercado interior de la Unión Europea. Esto no solo incluye a los estados miembros de la UE, sino también a organizaciones fuera de la UE que son consideradas esenciales en el mercado europeo.

¿Qué sectores se incluyeron en la Directiva NIS1?

  • Cuidado de la salud
  • Infraestructura digital
  • Transporte
  • Suministro de agua
  • Proveedores de servicios digitales
  • Infraestructura bancaria y del mercado financiero
  • Energía

¿Qué sectores se agregaron con la Directiva NIS2?

  • Proveedores de redes o servicios públicos de comunicaciones electrónicas
  • Gestión de aguas residuales y residuos
  • Fabricación de ciertos productos críticos (por ejemplo, productos farmacéuticos, dispositivos médicos y productos químicos)
  • Alimentos
  • Servicios digitales (por ejemplo, plataformas de redes sociales y servicios de centros de datos)
  • Espacio (por ejemplo, aeroespacial)
  • Servicios postales y de mensajería
  • Administración Pública

Fuente: Cyberpilot, 2022

¿Qué requisitos introduce NIS2?

La directiva consta de siete puntos que deben cumplir las empresas y sectores aplicables. Estos requisitos incluyen la respuesta a incidentes, la seguridad de la cadena de suministro, el cifrado, la divulgación de vulnerabilidades y un enfoque de dos etapas para el informe de incidentes. Según este enfoque, las organizaciones deben informar sobre un incidente dentro de las 24 horas posteriores a su ocurrencia inicial y enviar un informe final en un plazo máximo de un mes. Disponer de un Centro de Operaciones de Seguridad o SOC empezará ser clave para muchas empresas.

¿Qué sucede si las empresas no cumplen con la directiva?

En caso de incumplimiento de los requisitos de NIS2, se pueden tomar diversas medidas de cumplimiento, que incluyen instrucciones vinculantes, recomendaciones para realizar auditorías de seguridad y multas administrativas de hasta 10 millones de euros o el 2 % de la facturación anual mundial total de la empresa en el ejercicio anterior.

¿Cuándo se implementará esta directiva?

Los Estados miembros deberán adoptar y publicar las medidas necesarias para cumplir con lo establecido en esta normativa antes del 17 de octubre de 2024.

¿Cómo deben prepararse las empresas?

NIS2 requerirá que las organizaciones evalúen sus riesgos de ciberseguridad, por lo que es recomendable realizar una evaluación de seguridad cibernética para identificar fortalezas y debilidades. Además, dado que el cifrado será parte de la directiva, es importante examinar cómo se protegen y cifran los datos actualmente y considerar cualquier mejora necesaria.

En resumen, la Directiva NIS2 representa un paso importante para fortalecer la ciberseguridad en Europa. Amplía el ámbito de aplicación, introduce requisitos más estrictos y busca mejorar la cooperación y el intercambio de información entre los estados miembros. Para las empresas, es esencial comprender los requisitos de la directiva y tomar medidas para cumplir con ellos, evaluando los riesgos de ciberseguridad y fortaleciendo las medidas de protección adecuadas. La implementación efectiva de la Directiva NIS2 ayudará a garantizar un nivel más alto de ciberseguridad en toda la Unión Europea.

Referencias

encuentra artículos

newsletter

Recibe toda la actualidad del sector tech y cloud en tu email de la mano de RevistaCloud.com.

Subscription Form (#5)

LO ÚLTIMO