Novedades Directiva NIS2: ¿Qué debe saber tu organización?

¿Qué es la NIS2?

Si estás aquí, es probable que ya hayas oído hablar de la NIS2. Esta Directiva de la Unión Europea tiene como objetivo fortalecer la ciberseguridad en toda la comunidad al establecer requisitos claros para la protección de redes y sistemas de información. La NIS2 es una actualización de la anterior Directiva NIS, y busca crear un nivel común de ciberseguridad en todos los Estados miembros. Al igual que el Reglamento General de Protección de Datos (GDPR), esta legislación armoniza las medidas y enfoques necesarios para salvaguardar la infraestructura digital frente a la creciente amenaza de ciberataques.

Antecedentes NIS2: historia, contexto y carencias

No cabe duda de que, en algo más de treinta años, las redes y sistemas de información, particularmente Internet, han adquirido un papel crucial en la sociedad a nivel mundial. Han facilitado de manera decisiva la circulación transfronteriza de productos, servicios y personas, convirtiéndose en elementos esenciales para las actividades económicas y sociales. Sin embargo, paralelamente, los incidentes de seguridad de la información, así como las acciones malintencionadas y delitos asociados, han aumentado continuamente en magnitud, frecuencia y efectos perjudiciales a gran escala.

El elevado impacto de estos incidentes en las actividades económicas a nivel internacional, junto con las pérdidas financieras asociadas, ha llevado a que, especialmente en la última década, la fiabilidad y seguridad de las redes y sistemas de información se conviertan en una prioridad para los distintos países y las organizaciones supranacionales. Estas entidades han abogado por el desarrollo y fortalecimiento de exigencias normativas y legales que establezcan requisitos de seguridad y fomenten las capacidades organizativas para proteger estos elementos esenciales para la sociedad.

En este contexto, la Unión Europea, en 2016, consciente de las desigualdades en los niveles de preparación de los diferentes países miembros y de los diversos enfoques de seguridad existentes hasta entonces, aprobó la Directiva (UE) 2016/1148, comúnmente conocida como Directiva NIS. Esta directiva se convirtió en un importante impulsor de la armonización de la seguridad de la información en la UE.

Entre sus principales objetivos, la Directiva NIS buscó mejorar la ciberseguridad en sectores clave para la economía y la sociedad, así como entre los proveedores de servicios digitales. Además, se propuso asegurar la resiliencia de los operadores de servicios esenciales, establecer un marco de cooperación óptimo entre los países miembros de la UE para reducir el riesgo de ciberamenazas transfronterizas, implementar medidas de seguridad efectivas y desarrollar un marco de notificación de incidentes, además de fomentar la colaboración público-privada.

No obstante, la falta de criterios concretos, que dejaba la interpretación abierta a los diferentes países; el alcance limitado a sectores específicos; la cobertura insuficiente de la cadena de suministro y los riesgos para las PYMES; y la ausencia de sanciones disuasorias, entre otros aspectos, han menoscabado la efectividad de la directiva. Esto, sumado a la necesidad de actualizarse para abordar las nuevas amenazas cibernéticas y la rápida transformación digital, ha sido determinante para su revisión y actualización.

Directiva NIS2: Principales cambios y obligaciones

La Directiva NIS2 surge para superar los obstáculos que limitaron la eficacia de su predecesora y ampliar su alcance, mejorando la seguridad de la información en un contexto más extenso. A continuación, destacamos sus principales cambios:

Nomenclatura de designación

La Directiva NIS2 introduce un cambio importante en la manera en que se clasifican las organizaciones que deben cumplir con sus obligaciones de ciberseguridad. Mientras que la Directiva NIS original diferenciaba entre operadores de servicios esenciales y proveedores de servicios digitales, dejando a los Estados miembros la libertad de decidir qué entidades entraban en estas categorías, la NIS2 busca mayor uniformidad y claridad.

Ahora, las organizaciones se dividen en dos grandes categorías: entidades esenciales y entidades importantes, utilizando criterios objetivos como el sector en el que operan, su tamaño y su facturación anual. Esta clasificación es mucho más clara y uniforme a nivel europeo, lo que reduce las inconsistencias entre los Estados miembros en la aplicación de la normativa.

Además, la NIS2 reconoce que, aunque las microempresas y pequeñas empresas suelen estar exentas de muchas regulaciones por su tamaño, en algunos casos estas empresas pueden desempeñar un papel crucial para la sociedad o la economía. Por ejemplo, si una microempresa proporciona un servicio esencial para un sector crítico, también deberá cumplir con la directiva. Esto garantiza que toda organización con impacto estratégico en ciertos sectores no se queden fuera del marco regulatorio.

Ámbito de aplicación y alcance

La Directiva NIS2 amplía significativamente su campo de acción en comparación con la versión anterior, principalmente mediante la identificación de nuevos sectores considerados de "Alta Criticidad" o "Críticos" para el funcionamiento de la sociedad y la economía. Estos sectores son fundamentales para las actividades cotidianas, y su interrupción podría tener un impacto severo en la vida económica y social. Entre estos sectores se incluyen, por ejemplo, energía, transporte, salud, finanzas, infraestructura digital, y otros que desempeñan un papel clave en la seguridad y estabilidad de la Unión Europea.

Este enfoque más amplio y detallado extiende considerablemente el alcance de la Directiva, haciendo que un número mucho mayor de organizaciones estén sujetas a cumplir con las medidas de seguridad.

Requisitos de seguridad y gestión de riesgos

El principal objetivo de la Directiva NIS2 es elevar los niveles de seguridad en toda la Unión Europea. Para lograrlo, no solo introduce criterios específicos de evaluación de riesgos, sino que también incrementa las exigencias en cuanto a las medidas de seguridad y la gestión de riesgos que las organizaciones deben cumplir dentro de su ámbito de aplicación.

Uno de los aspectos clave es el enfoque en la seguridad de la cadena de suministro, ya que cualquier vulnerabilidad en esta cadena puede comprometer la seguridad de todo el ecosistema. Asimismo, la Directiva refuerza la gestión de incidentes, exigiendo procedimientos más estrictos para la notificación de los mismos. Las organizaciones afectadas están obligadas a informar de manera rápida y precisa a las autoridades competentes cuando sufran un incidente que pueda comprometer sus sistemas o servicios.

Este enfoque fomenta el desarrollo de un marco sólido para la notificación de incidentes y promueve una mayor colaboración público-privada, mejorando la capacidad de respuesta y la resiliencia ante posibles ciberamenazas.

Régimen sancionador

La Directiva NIS2 promueve la imposición de sanciones económicas severas como medida disuasoria para aquellas organizaciones que no cumplan con las medidas de gestión de riesgos de ciberseguridad o con las obligaciones de notificación de incidentes. 

Para las entidades esenciales, se prevén multas administrativas de hasta 10 millones de euros o el 2% del volumen de negocios anual total a nivel mundial, aplicando el criterio de mayor cuantía. En el caso de las entidades importantes, las sanciones pueden llegar hasta 7 millones de euros o el 1,4% del volumen de negocios anual global, siguiendo el mismo criterio.

NIS2 en España: Transposición de la Directiva y su implementación

Si bien España se adaptó rápidamente a la Directiva (UE) 2016/1148, NIS, mediante su transposición en el Real Decreto-ley 12/2018, de 7 de septiembre, sobre la seguridad de las redes y sistemas de información, y su posterior desarrollo a través del Real Decreto 43/2021, esto fue posible gracias a que el país ya contaba con un buen nivel de madurez en este ámbito, derivado del ecosistema creado por la Ley 8/2011 de medidas para la protección de infraestructuras críticas.

Sin embargo, en cuanto a la transposición de la Directiva NIS2, España se encuentra rezagada respecto a otros países europeos. Por lo tanto, sin un marco jurídico nacional claramente definido, las organizaciones españolas sólo podrán basarse en la Directiva Europea para comenzar a implementar las medidas necesarias.

No obstante, ya existen ciertas premisas que permiten intuir el camino que se adoptará a nivel nacional para cumplir con la Directiva NIS2. En este sentido, el Centro Criptológico Nacional se ha adelantado con la publicación de la Guía de Perfil de Cumplimiento Específico CCN-STIC 892 para organizaciones dentro del ámbito de aplicación de la Directiva NIS2 (PCE-NIS2). En esta guía, se establece que todas las entidades públicas sujetas a la Directiva, así como muchas entidades privadas, también están obligadas al cumplimiento del Esquema Nacional de Seguridad (ENS).

La guía aclara que una organización cuyo sistema de información esté certificado en la categoría Alta del ENS y tenga un alcance adecuado a los requisitos de la NIS2, cumple con los requisitos de ciberseguridad establecidos por la Directiva. Para aquellas organizaciones certificadas en la categoría Media del ENS, la guía recomienda que adecúen sus medidas de seguridad para cumplir con las exigencias de la NIS2, poniendo especial énfasis en áreas como la continuidad del negocio, la protección de la cadena de suministro y la gestión y notificación de incidentes, entre otros.

Además, la guía especifica que las entidades esenciales deben cumplir con 72 de las 73 medidas de seguridad definidas en el Anexo II del Real Decreto 311/2022, mientras que las entidades importantes deben cumplir con 68 de dichas medidas.

Este enfoque ofrece un marco claro para que las organizaciones, tanto públicas como privadas, se preparen para la implementación de la NIS2 a nivel nacional, aún antes de que la normativa sea completamente transpuesta al ordenamiento jurídico español.

Es por ello que, ante la falta de transposición de la Directiva, todo indica que el Estado español optará por adaptar la normativa vigente en la materia y, basándose en el Artículo 5 de la Directiva, ejercerá su derecho a adoptar o mantener disposiciones que garanticen un nivel más elevado de ciberseguridad, impulsando a las organizaciones al cumplimiento del Esquema Nacional de Seguridad (ENS).

Webinar NIS2: resuelve tus dudas

No te pierdas nuestro webinar sobre NIS2, donde abordaremos los últimos cambios en la transposición de la ley, qué empresas se verán afectadas, los plazos de aplicación y los pasos a seguir para proteger tu empresa ante las nuevas exigencias.

Haz clic en el siguiente enlace para registrarte.

Test NIS2 gratuito para evaluar tu nivel actual de cumplimiento

Trabajando diariamente con las implicaciones de la Directiva NIS2, sé que adaptarse a sus exigencias puede ser un desafío para muchas organizaciones. No dejes que el tiempo te juegue en contra: adaptarse a la NIS2 es un proceso que abarca múltiples áreas del negocio y requiere planificación anticipada. El primer paso clave es identificar el estado de cumplimiento actual de tu empresa, y por eso en SNGULAR ofrecemos un Test NIS2 gratuito. En una llamada 1-to-1 sin compromiso, te ayudaremos a evaluar el estado de cumplimiento de tu organización.

Esta primera evaluación es completamente informativa y te dará una visión precisa de tu situación actual, además de orientarte sobre los pasos necesarios para cumplir con la Directiva. Si tienes dudas o quieres conocer más sobre tu grado de cumplimiento, solicita aquí tu test gratuito y pon a tu organización en camino hacia un mayor nivel de seguridad.