La Directiva NIS2 tiene como objetivo garantizar un elevado nivel común de Ciberseguridad en toda la Unión Europea y eliminar las divergencias tan pronunciadas entre los Estados miembros en la aplicación de la ya derogada Directiva NIS1. En este artículo te explicamos en qué consiste y sus principales cambios y novedades.
Según la nueva Directiva NIS2, los sistemas de redes y de información se han convertido en un aspecto crucial del día a día gracias a la velocidad de la transformación digital, la interconexión de la sociedad y los intercambios transfronterizos. Esta evolución también ha causado una expansión del panorama de las ciberamenazas con la consiguiente aparición de nuevos desafíos que requieren respuestas adaptadas, coordinadas e innovadoras en todos los Estados miembros.
En este sentido, los ciberataques masivos representan una grave amenaza para la seguridad de la Unión al tener la capacidad de interrumpir las actividades económicas en el mercado interior, generar pérdidas financieras, mermar la confianza de los usuarios y ocasionar grandes daños a la economía y la sociedad de la Unión.
Te puede interesar: Las geopolítica actual fuerza a la UE a reforzar su Ciberseguridad
Las crecientes interdependencias en la UE son el resultado de una red de prestación de servicios que utilizan infraestructuras críticas clave en sectores como la energía, el transporte, la infraestructura digital, el agua potable y las aguas residuales, la sanidad y determinados aspectos de la administración pública.
Te puede interesar: La amenaza de los ciberataques al sector energético
Esas interdependencias implican que cualquier perturbación, incluso aquellas que inicialmente se circunscriben a una entidad o un sector, puede tener efectos en cascada más amplios que pueden ocasionar repercusiones de gran alcance y duración en la prestación de servicios en todo el mercado interior. La intensificación de los ciberataques durante la pandemia de COVID-19 han puesto de relieve la vulnerabilidad de unas sociedades cada vez más interdependientes frente a riesgos de baja probabilidad.
El objetivo de la anterior Directiva UE 2016/1148, también conocida como NIS1, era el de desarrollar las capacidades en materia de Ciberseguridad en toda la Unión. Sin embargo, su revisión puso de manifiesto la existencia de grandes diferencias en su aplicación por parte de los Estados miembros, con efectos perjudiciales en el mercado interior.
Estas diferencias podrían derivar, además, en una mayor vulnerabilidad de algunos Estados miembros frente a las ciberamenazas con efectos que se podrían sentir en toda la Unión. Es por ello que se comenzó la redacción de la Directiva (UE) 2022/2555 o NIS2 para sustituirla y modificar el Reglamento (UE) n.º 910/2014, así como la Directiva (UE) 2018/1972, que entrará finalmente en vigor el 16 de enero de 2023.
Objetivo de la Directiva NIS2
El Objetivo de la Directiva NIS2 es, precisamente, acabar con estas diferencias entre los Estados miembros, concretamente mediante la definición de normas mínimas relativas al funcionamiento de un marco regulador coordinado. Además, en ella también se establecen mecanismos para que las autoridades competentes de cada Estado cooperen de manera eficaz.
En la Directiva NIS2 también se ha actualizado la lista de sectores y actividades sujetos a obligaciones de Ciberseguridad, así como se han desarrollado medidas de ejecución eficaces que son fundamentales para garantizar el cumplimiento de las mismas.
Te puede interesar: El CNI renueva “REYES”, su herramienta de Ciberinteligencia
El objetivo primordial es eliminar las diferencias entre los requisitos de ciberseguridad y de aplicación de las medidas entre los distintos Estados miembros. Para ello, se establecen normas mínimas para un marco regulador y mecanismos para una cooperación eficaz entre las autoridades de cada Estado miembro. Así, se establecerá la Red Europea de Organización de Enlace de Crisis Cibernéticas (EU-CYCLONe) para mejorar la coordinación en la gestión de incidentes de ciberseguridad a gran escala.
Además, la Agencia de la Unión Europea para la Ciberseguridad (ENISA) tendrá un papel más relevante a partir de ahora. Esta deberá asistir a la Comisión Europea en su labor de proporcionar orientación y modelos relativos a la obligación de los Estados de presentar la información pertinente.
La Directiva NIS2 también parte de la idea de que la Unión Europea debe ser quien se encargue de dirigir el ordenamiento jurídico sobre el mundo digital, siguiendo el éxito del Reglamento General de Protección de Datos (RGPD) de 2016 y otros nuevos instrumentos para la regulación de la Ciberseguridad.
Te puede interesar: Masterclass | Ciberinteligencia al servicio de empresas e instituciones | LISA Institute
En este sentido, la Directiva NIS2 marca un punto de inflexión sobre la regulación europea y la regulación nacional, un tema de tensión y de continuo debate. Con esta Directiva se observa un aumento de la importancia de la regulación europea y de la toma de decisiones de forma regional, algo que se ha visto de manera mucho más clara desde el comienzo de la guerra en Ucrania y en otros reglamentos en materia de Ciberseguridad como DORA.
Novedades y cambios de la Directiva NIS2 de la UE
Diferente disposición de las empresas. Anteriormente, las empresas tenían que esperar a que la UE los designara para estar dentro del ámbito de aplicación, teniendo una lista de criterios de evaluación demasiado engrosada. Con la Directiva NIS2, ahora el proceso es diferente y cada compañía deberá autoevaluarse y definir si es una empresa esencial o importante.
Esta división se basa principalmente en su sector de actividad. En este sentido, las más tradicionales, como el sector energético o bancario, se consideran esenciales, y las empresas de nuevos sectores como el logístico o el farmacéutico, importantes. Dependiendo de su clasificación se le conferirán más o menos obligaciones.
Además, según la Directiva NIS2, tanto las entidades esenciales e importantes, deben adoptar una gran variedad de prácticas básicas de ciberhigiene. Entre ellas se destacan los principios de confianza cero, las actualizaciones de software, la configuración de dispositivos, la segmentación de la red y la gestión de la identidad. Además, también se incluye el acceso o la concienciación de los usuarios y la organización de formaciones para su personal y sensibilizar sobre las ciberamenazas.
Te puede interesar: LISA Institute y LinkedIn se alían para concienciar en Ciberseguridad a millones de personas
Ampliación del ámbito de aplicación. Otra de las novedades de la Directiva NIS2 es que se amplían los sectores que entran dentro de la directiva, sin importar el tamaño de la empresa. Además, también se permitirá a los propios Estados que decidan qué empresas pueden entrar dentro de su ámbito de aplicación si las consideran lo suficientemente relevantes, a pesar de que no cumplan alguno o algunos de los requisitos.
Con arreglo a la Directiva (UE) 2016/1148, los Estados miembros eran responsables de identificar las entidades que cumplían los criterios para ser consideradas operadores de servicios esenciales. A fin de eliminar las profundas divergencias entre los Estados miembros en ese sentido, en la Directiva NIS2 se apunta que debe establecerse un criterio uniforme que determine las entidades que están incluidas en el ámbito de aplicación de la presente Directiva.
Mientras en la anterior Directiva, los Estados miembros eran responsables de determinar qué entidades cumplían los criterios para ser consideradas como operadores de servicios esenciales, la nueva Directiva NIS2 establece una norma sobre el tamaño máximo. En este sentido, el texto acordado incluye disposiciones adicionales para garantizar la proporcionalidad, un mayor nivel de gestión de riesgos y criterios específicos para determinar qué entidades están cubiertas.
El texto aprobado detalla las entidades que no serán de aplicación de esta Directiva. Así, las que desarrollen actividades en ámbitos como la defensa o seguridad nacional, seguridad pública, policía, poder judicial o los parlamentos y bancos centrales quedarán excluidos de su ámbito de aplicación. La Directiva NIS2 también será de aplicación para las administraciones públicas, dado su grado de exposición a ciberataques en constante crecimiento.
Te puede interesar: Ciberseguridad en la administración local: retos y necesidades
Los Estados miembros también pueden determinar las pequeñas empresas y microempresas —siempre que cumplan criterios específicos que manifiesten manifiesto su papel clave para la sociedad, la economía o para determinados sectores o tipos de servicios— quedarán comprendidas en el ámbito de aplicación de esta Directiva NIS2.
Los Estados miembros, en sus estrategias nacionales de ciberseguridad, también deberán abordar las necesidades específicas de ciberseguridad de las pequeñas y medianas empresas. Según la Directiva NIS2, las pequeñas y medianas empresas representan, en toda la Unión, un gran porcentaje del mercado industrial y empresarial. En este sentido, destacan que a menudo tienen dificultades para adaptarse a las nuevas prácticas empresariales en un mundo más conectado y al entorno digital, con trabajadores que trabajan desde casa y negocios que cada vez con más frecuencia se realizan en línea.
Te puede interesar: Concienciación para prevenir ataques cibernéticos
Nuevas obligaciones. Que más empresas estén dentro del ámbito de aplicación de la Directiva NIS2 implica, por tanto, de más obligaciones. Estas se dividen principalmente en tres grandes categorías. En primer lugar, en el plano organizativo, la Directiva NIS2 obliga a las empresas a tener un documento social sobre la política relativa a la seguridad digital. A partir de este documento se deberán realizar distintos protocolos sobre los riesgos tecnológicos.
En segundo lugar, está el plano tecnológico, relativo a las tecnologías críticas y, en tercer lugar, en el plano conductual, que se deberá basar en el marco de seguridad de gestión de riesgos de Ciberseguridad.
A partir de la Directiva NIS2, la responsabilidad, la dirección y el liderazgo en materia de seguridad digital pasa a ser de dos actores principales: el Consejo de Administración de la empresa que entre dentro del ámbito de aplicación y el Chief Indormation Security Officer (CISO) de la compañía.
Te puede interesar: Curso de Director de Ciberseguridad
Es por esto, que se deberá realizar una formación del Consejo de Administración en materia de Ciberseguridad, debido a la importancia estratégica de la empresa. Según el artículo 7 de la Directiva NIS2, el Consejo también deberá aprobar las medidas, asegurarse de su ejecución y recibir la formación adecuada para comprender los riesgos tecnológicos. El Consejo no puede omitir o trasladar a otros ámbitos de la compañía la responsabilidad por materia de seguridad digital.
Inclusión de la cadena de suministro. Según la Directiva NIS2 no solo las propias empresas deben mantener las nuevas medidas en su compañía, sino que deben exigirlas también a los terceros que les suministran. Se destaca en un papel principal si, además, estas empresas suministran servicios IT. Además, los Estados ahora deberán también velar porque la Directiva NIS2 se cumpla en las empresas que deben incorporar las nuevas medidas.
Notificación de incidentes de seguridad. En la anterior Directiva, la NIS1, cada país seguía su propia política de notificación de incidentes, lo que era un problema cuando se daban incidentes transnacionales. Ahora, bajo la Directiva NIS2, se crea un marco común para toda la Unión. Sin embargo, sí se mantiene la libertad de cada país de regular los incidentes que no tengan ninguna repercusión en otros países de la Unión.
Entre otras cosas, la Directiva NIS2 regula los requisitos de seguridad y las obligaciones de presentación de informes que las empresas deben cumplir. En caso de incidentes de seguridad cibernética, las empresas tendrán que informar a las autoridades pertinentes aproximadamente en un plazo de 24 horas y luego presentar un informe detallado en un plazo de 72 horas.
Coordinación entre las instituciones europeas y nacionales. En su gran mayoría, son las empresas privadas las que se encargan de las cuestiones relacionadas con la seguridad. En la Directiva NIS2 se plantea una colaboración público-privada para creación de redes de cooperación. Así, las empresas privadas pueden crear redes para compartir la información por iniciativa propia.
Esto, implica que, si en un principio la Administración Pública no toma la iniciativa para crear estas redes, la empresa privada de seguridad deberá comenzar a compartir la información relativa a la Ciberseguridad por cuenta propia. De esta manera, según la Directiva NIS2, se creará un sistema de colaboración efectivo y en el que la información fluya entre las diferentes entidades.
En este sentido, la Directiva NIS2 plantea que las asociaciones entre el sector público y el privado en el ámbito de la ciberseguridad puedan ofrecer un marco adecuado para el intercambio de conocimientos y de buenas prácticas, así como para el establecimiento de un nivel común de entendimiento entre las partes interesadas.
Con el fin de facilitar la cooperación y la comunicación transfronterizas entre las autoridades, y de permitir una aplicación efectiva de la Directiva NIS2, es necesario que cada Estado miembro designe un punto de contacto único que se encargue de coordinar las cuestiones relacionadas con la seguridad de los sistemas de redes y de información y de la cooperación transfronteriza a escala de la Unión.
Además, los Estados miembros deben estar debidamente equipados, tanto en términos de capacidades técnicas como de capacidades organizativas, para las labores de prevención, detección, respuesta ante incidentes y riesgos y para reducirlos.
Inclusión de la Inteligencia Artificial. Según la Directiva NIS2, los Estados miembros también deberán fomentar el uso de toda tecnología innovadora, incluida la inteligencia artificial, cuyo uso pueda mejorar la detección y la prevención de ciberataques, permitiendo que los recursos se desvíen de manera más eficaz hacia la lucha contra los ciberataques.
Exclusión de instituciones públicas dedicadas a la seguridad nacional. La exclusión de las entidades de la Administración pública del ámbito de aplicación de la Directiva NIS2 debe aplicarse a las entidades cuyas actividades se lleven a cabo principalmente en los ámbitos de la seguridad nacional, la seguridad pública, la defensa, o la garantía del cumplimiento de la ley, incluidas la prevención, investigación, detección y enjuiciamiento de infracciones penales.
La Directiva NIS2 no se aplica a las misiones diplomáticas y consulares de los Estados miembros en terceros países ni a sus sistemas de redes y de información, en la medida en que dichos sistemas estén situados en las dependencias de la misión o se utilicen para usuarios ubicados en un tercer país.
Te puede interesar: Masterclass | Autoprotección digital para ciberinvestigar de forma segura | LISA Institute
Además, ningún Estado miembro está obligado según la Directiva NIS2 a facilitar información cuya divulgación sea contraria a los intereses esenciales de su seguridad nacional, seguridad pública o defensa. De esta forma, deben tenerse en cuenta a estos efectos las normas de la Unión o nacionales en materia de protección de la información clasificada, los acuerdos sobre confidencialidad y los acuerdos de confidencialidad informales como el Protocolo TLP para el intercambio de información (Protocolo TLP, por sus siglas en inglés).
Dada la intensificación y la mayor sofisticación de las ciberamenazas, los Estados miembros sí deben esforzarse por garantizar que las entidades excluidas del ámbito de aplicación de la Directiva NIS2 alcancen un elevado nivel de ciberseguridad y por apoyar la aplicación de medidas equivalentes de gestión de riesgos de ciberseguridad que reflejen el carácter sensible de dichas entidades.
El NIS2, al ser una Directiva de la Unión, tiene un largo plazo de implementación en el ordenamiento nacional. En el caso de España, se realizará una transposición nacional que tendrá un periodo de convivencia con el actual Real Decreto 43/2021 sobre la seguridad de las redes y los sistemas de información, para luego acabar por sustituirlo.
