El 14 de diciembre de 2022, se aprobó la Directiva NIS2 de ciberseguridad en el Parlamento Europeo. Esta nueva regulación se ha concebido para fortalecer los parámetros de seguridad de directivas previas y garantizar un mayor nivel de protección a las pymes y negocios frente a los nuevos avances tecnológicos. La Directiva entrará en vigencia en octubre de 2024 y España deberá integrarla en su legislación.
¿Qué es la Directiva NIS2?
La Directiva NIS2 es una actualización a escala de las legislaciones previas a nivel europeo que se ha desarrollado con el propósito de fortalecer y unificar las normas de seguridad en todos los Estados miembros de la Unión Europea (UE). Su antecedente es la Directiva SRI2, que entró en vigor en 2023, pero esta nueva directiva es una actualización de la Directiva sobre Seguridad de las Redes y los Sistemas Informáticos (NIS), que en España quedó reflejada en el Real Decreto Ley 12/2018.
Esta nueva legislación exigirá a las organizaciones nuevas medidas de seguridad básicas para reducir los riesgos y amenazas cibernéticas en la UE. Es la legislación más completa hasta el momento y su aplicación por parte de los veintisiete Estados miembros de la UE en sus respectivas legislaciones nacionales deberá completarse antes del 17 octubre de 2024.
La Directiva NIS2 se enmarca dentro de la iniciativa de la Comisión Europea para aumentar la resiliencia, con una inversión prevista de 214 millones de euros en ciberseguridad para 2024. Entre las principales normas de la Directiva NIS2 se encuentran la protección de las infraestructuras críticas que comprende el conjunto de sistemas físicos, instalaciones y servicios esenciales como la energía, el transporte, el agua, las infraestructuras digitales y la banca.
Asimismo, la legislación hace especial énfasis en la ciberinteligencia y la prevención y evaluación continua de riesgos y vulnerabilidades: esta no solo comprende la mitigación de las amenazas conocidas, sino también la capacidad de anticipar nuevas formas de ataques que, con la expansión de la inteligencia artificial en el mundo de la ciberdelincuencia, cambian cada vez con mayor velocidad.
La Directiva NIS2 comprende la inclusión de nuevos sectores dentro de la normativa y amplía las responsabilidades de las organizaciones en materia de protección de datos. Asimismo, incluye la imposición de nuevas sanciones económicas y responsabilidades penales en el marco de su aplicación. Con esta nueva dirección, la UE pretende demostrar un renovado compromiso para con la ciberseguridad en Europa.
¿A qué sectores se dirige la Directiva NIS2?
La nueva Directiva se dirige a sectores considerados de naturaleza crítica cuya resiliencia operativa no puede interrumpirse. En concreto, se dirige a 18 sectores divididos en Sectores de Alta Criticidad (11) y Otros sectores críticos (7):
- Sectores de Alta Criticidad:
- el sector energético (electricidad, calefacción y refrigeración urbanas, petróleo, gas e hidrógeno)
- el sector bancario
- el sector de infraestructuras de mercados financieros
- el sector sanitario
- el sector de transporte (aéreo, ferroviario, acuático y por carretera)
- el sector de infraestructuras digitales
- el sector de aguas potables
- el sector de aguas residuales
- la administración pública
- el sector de gestión de tecnologías de la información business to business (TIC)
- el sector del espacio
- Otros sectores críticos:
- servicios postales y de mensajería
- gestión de residuos
- productos químicos
- alimentos
- fabricación de dispositivos (médicos, electrónica, maquinaria y equipo, vehículos de motor, equipos de transporte, etc.)
- proveedores digitales (marketplace, motores de búsqueda y plataformas de servicios de redes sociales)
- organizaciones de investigación
Asimismo, la Directiva NIS2 define dos tipos de entidades que pueden encontrarse entre los sectores mencionados anteriormente: entidades esenciales y entidades importantes.
- Entidades esenciales. Esta categoría abarca las entidades que pertenecen a los Sectores de Alta Criticidad. Incluye a prestadores de servicios de confianza, registros, así como también a los registros de nombres de dominio de primer nivel; a los proveedores de servicios DNS; a proveedores de redes públicas de comunicación electrónica; a servicios de comunicación electrónicos considerados medianas empresas y destinados al público; organismos de la administración pública; y cualquier otro organismo u operador que el Estado considere esencial en relación con la Directiva anterior (NIS).
- Entidades importantes. En esta categoría se encuentran todas las entidades que no se pueden considerar esenciales, ya sean pertenecientes a Sectores de Alta Criticidad o a Otros sectores críticos.
Las pymes ahora están incluidas en la normativa europea
La legislación previa a la Directiva NIS2 (la Directiva NIS) comprendía un marco de aplicación más acotado que su nueva versión, que ahora incluye dentro de sus lineamientos a las pequeñas y medianas empresas que se encuentren dentro de las categorías mencionadas en el apartado anterior. Seguirá siendo obligatoria para compañías que cumplan con dicho requisito y además cuenten con más de 250 empleados y con una facturación anual de 50 millones de euros.
La Directiva anterior, incluida en la legislación española a través del Real Decreto Ley 12/2018, definía las medidas de seguridad para lo que se llamó Operadores de Servicios Esenciales: organizaciones públicas y privadas que prestarán servicios esenciales para cubrir las funciones sociales básicas (salud, energía, etc.).
La nueva Directiva NIS2 reconoce que las pymes también son importantes y esenciales dentro de su marco de aplicación. Esto indica que, con independencia de su tamaño o nivel de facturación, la nueva normativa afectará a aquellas empresas que desempeñan un papel clave para la sociedad, ya sea en la economía o en la prestación de servicios.
Así, las entidades que sean proveedoras únicas de un servicio esencial, o cuando un evento disruptivo en alguna de ellas pueda tener repercusiones significativas de carácter fronterizo, estarán incluidas en la normativa. En estos casos, las pymes que puedan encontrarse en esta categoría deberán adoptar las siguientes prácticas:
- Cumplir con los principios de confianza cero (zero-trust): visibilidad y control de acceso, políticas granulares, segmentación de la red, entre otros
- Realizar actualizaciones periódicas de software
- Mantener sus dispositivos configurados de forma segura
- Segmentar la red y limitar las brechas de seguridad
- Implementar criterios de verificación de identidad y acceso
- Fomentar la concienciación de los usuarios
- Implementar iniciativas de formación para los empleados
- Fomentar la concienciación sobre los ataques más comunes y los métodos de prevención
Finalmente, la nueva normativa establece un régimen de sanciones y penalidades para las organizaciones que no cumplan con las prácticas mencionadas. En los casos más severos, las multas pueden llegar a los 20 millones de euros o a un 4 % de la facturación global de la organización. Cada Estado será responsable de establecer las sanciones que correspondan, pero estas deberán ser «eficaces, proporcionadas y disuasorias».
Ahora bien, ¿cómo pueden las empresas prepararse en caso de pertenecer a algunos de los sectores que la Directiva NIS2 alcanza? El Instituto Nacional de Ciberseguridad (ICIBE) recomienda:
- Comunicarse con el ICIBE para conocer las responsabilidades que le competen bajo la nueva Directiva
- Evaluar las necesidades de ciberseguridad de la organización realizando un análisis de riesgo en la herramienta de autodiagnóstico del ICIBE
- Participar de alguna de las convocatorias de la encuesta de ciberresiliencia de los servicios a operadores del ICIBE
- Ofrecer a la plantilla laboral cursos y formaciones en el apartado de Formación del sitio web del ICIBE
- Consultar cómo se notifican actualmente las incidencias de ciberseguridad en la «Guía nacional de notificación y gestión de ciberincidentes»
Conclusión
La Directiva NIS2 representa un avance profundo en el concepto de ciberseguridad a nivel europeo: ya no solo incluye a las grandes empresas y proveedores de servicios, sino también a las pymes y negocios que brindan servicios esenciales. Si bien esta normativa entrará en vigor a mediados de octubre de 2024, una encuesta encargada por SailPoint indica que de 1500 responsables de TI de Alemania, Francia y Reino Unido, solo un tercio de las organizaciones han concluido sus preparativos para adoptarla.