Oct 142024
Comments
off

La directiva NIS2 y los cambios a los que obligará a las empresas.

La Directiva NIS2 (Network and Information Systems 2) supone un cambio significativo en la manera en que las empresas europeas, especialmente las que operan en sectores críticos, abordan la ciberseguridad. Con medidas más estrictas, mayor supervisión y sanciones más severas, esta directiva busca preparar a Europa para enfrentarse a las crecientes amenazas cibernéticas y proteger los servicios esenciales que dependen de la infraestructura digital.

La Directiva es una legislación clave de la Unión Europea destinada a reforzar la ciberseguridad en sectores críticos, actualizando la anterior Directiva NIS1. Esta norma original, adoptada en 2016, se diseñó para mejorar la seguridad en redes y sistema de información en Europa. Sin embargo, dado el rápido crecimiento de las ciberamenazas, la trasformación digital y la dependencia de la tecnología se ha reconocido que la NIS1 es insuficiente. Así, la normativa NIS2, aprobada en diciembre de 2022, introduce reglas más estrictas y amplía su alcance a un mayor número de sectores, incluyendo el transporte, la energía, la banca y las infraestructuras digitales. Con fecha de implementación en octubre de 2024, los Estados miembros deberán integrar la directiva en sus legislaciones nacionales, exigiendo a las organizaciones cumplir con estándares más elevados de ciberseguridad.

Principales Objetivos:

  • Aumentar la seguridad cibernética en toda la UE: Establece normas más homogéneas y coherentes para todos los Estados miembros, asegurando un nivel mínimo de protección frente a las ciberamenazas.
  • Fortalecer la ciberresiliencia: Busca reducir las vulnerabilidades y proteger las infraestructuras críticas ante ataques, garantizando la continuidad de los servicios esenciales.
  • Promover la cooperación entre Estados miembros: Facilita el intercambio de información y la gestión coordinada de crisis cibernéticas, mejorando la respuesta conjunta a incidentes.
  • Unificar la gestión de incidentes cibernéticos: Establece un sistema común de notificación para que las entidades reporten de forma rápida y eficiente los ataques, ayudando a una mejor coordinación en la respuesta a los mismos.
  • Mejorar la seguridad de la cadena de suministro: Establece controles estrictos para que todos los actores involucrados en la cadena cumplan con los más altos estándares de ciberseguridad, protegiendo a las organizaciones de amenazas indirectas.

Además, uno de los puntos más destacados de la NIS2 es su intento de homogeneizar las normativas nacionales de ciberseguridad. Bajo la NIS1, existían diferencias significativas entre las normativas de los distintos países, lo que a menudo creaba lagunas y puntos débiles en la seguridad global de la UE. La NIS2 pretende corregir estas diferencias estableciendo un conjunto de requisitos mínimos obligatorios para todos los Estados miembros.

Ámbito de aplicación:

La Directiva amplía su ámbito de aplicación al incluir más sectores y entidades que deben cumplir con estrictas normas de ciberseguridad. A diferencia de la NIS1, que se centraba en un número limitado de sectores, la NIS2 abarca una gama más amplia de industrias divididas en dos categorías: entidades esenciales y entidades importantes.

Entidades esenciales

Incluyen sectores críticos para el funcionamiento de la sociedad y la economía, como:

  • Transporte: terrestre, aéreo y marítimo.
  • Energía: gas, electricidad y petróleo.
  • Banca: incluyendo infraestructura de mercados financieros.
  • Sanidad: hospitales y servicios médicos críticos.
  • Suministro de agua potable y aguas residuales.
  • Infraestructura digital y servicios TIC: centros de datos, redes de telecomunicaciones, proveedores de servicios en la nube y plataformas críticas.

Las entidades en estos sectores son fundamentales para el día a día de la sociedad, y cualquier interrupción en sus servicios podría tener graves consecuencias a nivel nacional o incluso europeo. Por tanto, deben adoptar las medidas de ciberseguridad más estrictas para garantizar su funcionamiento y la protección de los datos que manejan.

Entidades importantes

Abarcan sectores que también juegan un papel relevante en la economía y la vida diaria, aunque no sean tan críticos como los anteriores. Entre ellos se encuentran:

  • Gestión de residuos: incluye la gestión de residuos peligrosos.
  • Industria química: fabricación y distribución de productos químicos.
  • Fabricación: especialmente sectores industriales clave.
  • Producción y distribución de alimentos: importante para el suministro alimentario.
  • Servicios digitales: proveedores de servicios de alojamiento web, plataformas de comercio electrónico, y otros servicios en línea.

Nuevas responsabilidades y roles:

La nueva normativa introduce cambios en las responsabilidades para los directivos de las empresas que entran en su ámbito de aplicación así como en el papel de la Agencia Europea para la Ciberseguridad (ENISA).

Directivos de empresas

Los órganos de dirección, como los consejos de administración, serán responsables de la supervisión y gestión de los riesgos de ciberseguridad de su organización. Esto incluye:

  1. Aprobación de las medidas adoptadas para gestionar los riesgos de ciberseguridad.
  2. Supervisión de su implementación para garantizar que se cumplan adecuadamente.
  3. Asumir responsabilidad ante cualquier incumplimiento, lo que puede conllevar sanciones más estrictas.
  4. Formación en ciberseguridad: deberán recibir formación periódica para comprender los riesgos y tomar decisiones informadas.

Además, tendrán la obligación de asegurarse de que la organización cumple con los requisitos de notificación de incidentes, reportando cualquier problema dentro de las primeras 24 horas. El papel del Chief Information Security Officer (CISO) será clave, ya que será responsable de ejecutar las medidas de ciberseguridad y asesorar a los directivos. En resumen, la directiva asigna una responsabilidad más directa a los directivos, quienes deberán garantizar que la seguridad cibernética esté integrada en la estrategia de la organización y que se cumpla con las exigencias de la normativa NIS2.

ENISA

El papel de la Agencia se fortalece significativamente. Ahora, ENISA tiene una función central en la coordinación de la ciberseguridad en toda la Unión Europea. Entre sus nuevas responsabilidades destacan:

  • Asesorar y guiar a los Estados miembros en la definición de sus estrategias de ciberseguridad.
  • Desarrollar un marco normativo uniforme para asegurar la coherencia entre los países.
  • Facilitar el intercambio de información y la cooperación entre autoridades nacionales.
  • Coordinar la gestión de crisis cibernéticas a través de redes como EU-CyCLONe.

EU-CyCLONe

EU-CyCLONe (EU Cyber Crisis Liaison Organisation Network) es una red de coordinación establecida bajo la Directiva de esta normativa para gestionar crisis cibernéticas a nivel de la Unión Europea. Su objetivo es facilitar una respuesta rápida y coordinada ante incidentes de ciberseguridad que afecten a múltiples países de la UE. Esto incluye intercambiar información entre Estados miembros y asegurar que las autoridades competentes respondan de manera efectiva a las amenazas cibernéticas. EU-CyCLONe permite mejorar la gestión de crisis y la cooperación internacional en el ámbito de la ciberseguridad

Notificación de incidentes

Un punto crucial de la directiva es a notificación de incidentes de ciberseguridad ha sido reforzada para asegurar una respuesta más rápida y eficaz. Las organizaciones afectadas están obligadas a reportar los incidentes en fases. Inicialmente, deben notificar a las autoridades competentes dentro de las primeras 24 horas tras detectar un incidente significativo, proporcionando una evaluación temprana del impacto potencial. Luego, deberán proporcionar un informe más detallado dentro de las 72 horas, seguido de un informe final una vez se haya completado la investigación y evaluación completa del incidente.

Este enfoque escalonado permite a las autoridades coordinar respuestas más rápidas, minimizar los daños, y fortalecer la cooperación internacional, especialmente en incidentes de gran magnitud. Además, las entidades afectadas deben asegurarse de contar con procesos de monitoreo y gestión adecuados para cumplir con estas obligaciones.

Nuevo marco de sanciones

Las sanciones bajo la Directiva NIS2 son mucho más severas en comparación con las de la NIS1. Esta nueva normativa ha introducido multas más altas y disuasorias, con el objetivo de garantizar que las organizaciones tomen en serio sus responsabilidades de ciberseguridad. Las sanciones pueden variar según la gravedad del incumplimiento, pero pueden alcanzar hasta 10 millones de euros o el 2% de los ingresos globales anuales de la empresa, lo que sea mayor. Además, se amplía la responsabilidad a los órganos de dirección que también podrían ser sancionados personalmente.

Este endurecimiento refleja la urgencia de la UE para mejorar la ciberseguridad y asegurar el cumplimiento de las normativas por parte de sectores críticos.

Para más información puedes consultar el texto completo de la transposición de la normativa publicado en el BOE https://www.boe.es/buscar/doc.php?id=DOUE-L-2022-81963


Entrada publicada por Ignacio Ibáñez Basterra, Director Ingeniería, el 14/10/2024 a las 08:16


Comments are closed.

  • Acceso a canales

  • CORPORATE SOCIAL RESPONSIBILITY

    Corporate Social Responsability
    If you want to make suggestions, improvements or complaints please can contact us here.
  • Calidad garantizada

  • logo_ens_media
  • SABICO GROUP TODAY

    SABICO GROUP is a corporation that operates in the Security field since 1989. [+]">[+]
Copyright ©2024. Grupo Sabico. | Inscrita en el registro de empresas de seguridad con el nº 1731 | Avisos legales y políticas | Login | Web diseñada y alojada en SABICO