La directiva debería haber estado transpuesta (o traspuesta) al ordenamiento jurídico nacional antes del pasado 17 de octubre, pero hasta el momento son pocos los países que lo han hecho, incluyendo España. Un retraso que ya vimos con la anterior Directiva NIS (Network and Information Systems) de 2016 que fue transpuesta tiempo después del plazo fijado en el Real Decreto-ley 12/2018 y el RD 43/2021.
Su actualización va encaminada a que las organizaciones afectadas se adapten a los nuevos retos que plantea la evolución del panorama de amenazas cibernéticas, ampliando las organizaciones afectadas y el alcance de las medidas obligatorias para reforzar los requisitos de seguridad y a promover una mayor colaboración entre los países miembros a la hora de gestionar incidentes cibernéticos.
La Agencia de Ciberseguridad de la Unión Europea (ENISA) jugará un papel destacado en el desarrollo de estándares comunes y en la supervisión de su implementación, así como para promover una mayor cooperación entre los países miembros facilitando así los mecanismos de intercambio de información y buenas prácticas.
En cuanto a qué organizaciones afecta, todavía existen dudas en determinadas organizaciones de si están o no obligadas a su cumplimiento puesto que, aunque se han publicado unos criterios que no dan lugar a dudas en la mayoría de los casos, también hay excepciones que deberán ser determinadas a nivel nacional. Las organizaciones afectadas son las entidades de sectores de alta criticidad y de otros sectores críticos, tanto del sector público como del sector privado, que se consideren grandes o medianas, considerándose estas últimas a las que tienen entre 50 y 250 empleados y con un volumen de negocios hasta los 50 millones de euros. Sin embargo, hay excepciones que podrían afectar a empresas por debajo de esos umbrales en caso de que la entidad sea el único proveedor de un servicio esencial para el mantenimiento de actividades económicas críticas, o cuando una perturbación del servicio prestado por la entidad pudiera tener repercusiones significativas sobre la seguridad pública, el orden público o la salud pública, entre otros.
En la directiva se distingue entre entidades esenciales y entidades importantes, en función del grado de criticidad del sector al que pertenecen, de los servicios que presten y de su tamaño. Entre las entidades esenciales, se encuentran la Administración Pública central, las grandes empresas pertenecientes a sectores de alta criticidad especificados en un determinado anexo, los operadores de servicios esenciales, prestadores de servicios electrónicos de confianza, etc. Por otro lado, se considera entidad importante a aquellas de sectores de alta criticidad o a otros sectores críticos que no sean consideradas entidades esenciales.
Las principales novedades de la nueva Directiva en cuanto a las medidas técnicas y organizativas consisten en la obligación de que las organizaciones incluidas en el alcance tengan o establezcan medidas de seguridad técnica y organizativa como una gestión de riesgos formal, procedimientos de respuesta a incidentes efectivos y debidamente probados, planes de continuidad del negocio y recuperación ante desastres o planes de concienciación y formación para los empleados.
Las medidas de seguridad vienen determinadas en el artículo 21 organizadas en diez agrupaciones de requisitos o medidas de seguridad mínimas que cada entidad deberá implementar, y que se deberán aplicar tanto a las entidades esenciales como a las importantes, aunque con mayor nivel de exigencia para las primeras.
Una novedad importante es la relativa a la gestión de incidentes y notificación. En este sentido, las entidades dentro del alcance están obligadas a notificar los incidentes significativos en un plazo máximo de 24 horas desde su detección a su CERT/CSIRT de referencia, CCN-CERT o INCIBE-CERT dependiendo de si se trata de organizaciones públicas o privadas. Ello para facilitar una respuesta coordinada y eficiente, y así poder compartir con otras organizaciones los detalles de las técnicas y tácticas utilizadas en el ciberataque junto con recomendaciones para la respuesta al incidente para que otras organizaciones puedan estar prevenidas en caso de sufrir un incidente similar. Las organizaciones también tendrán la obligación de notificar de forma inmediata a los destinatarios de sus servicios aquellos incidentes susceptibles de afectar negativamente a la prestación de dichos servicios.
Los CSIRT también podrán llevar a cabo una exploración proactiva, y no intrusiva, de los sistemas de redes y de información de acceso público de entidades esenciales e importantes, con objeto de detectar vulnerabilidades o configuraciones inseguras y así informar a las entidades afectadas. Deberán asegurarse de que ello no tenga ningún impacto negativo en el funcionamiento de los servicios de las entidades.
Las empresas también deberán evaluar y gestionar los riesgos de ciberseguridad en sus cadenas de suministro, incluyendo proveedores tecnológicos críticos como servicios de computación en la nube, lo que requerirá mayor colaboración y supervisión de proveedores que en los últimos años se han convertido en el eslabón más débil de la cadena a tenor de los últimos ciberataques perpetrados contra las cadenas de suministro de las grandes empresas.
Habida cuenta de que el usuario es el eslabón más débil de la cadena, la directiva obliga en su artículo 20.2 a que todos los empleados reciban formación en ciberseguridad de forma regular, encomendando a la Dirección la responsabilidad de que así sea, y haciendo especial énfasis en la propia formación de los órganos de dirección que deberán evidenciar, en caso de ser requerido, que la han recibido.
Para facilitar su cumplimiento a aquellas organizaciones obligadas a cumplir con el Esquema Nacional de Seguridad (ENS), el Centro Criptológico Nacional (CCN) ha publicado una guía (CCN-STIC 892), en la que se detalla lo necesario para cumplir con las disposiciones de la Directiva a partir del ENS, para que las organizaciones puedan empezar a prepararse a la espera de la transposición que podría implicar alguna variación, aunque mínima.
En cuanto a las sanciones económicas, la Directiva impone sanciones más severas por el incumplimiento que pueden alcanzar hasta el 2% del volumen de negocios global de la empresa o 10 millones de euros a aquellas entidades esenciales que no cumplan con la NIS2, y de las que se prevé una aplicación severa en caso de sufrir un incidente de seguridad con consecuencias. No obstante, habrá que esperar a la transposición para conocer los porcentajes y importes finales de estas sanciones que, como es habitual, dependerán también de la gravedad del incidente y del grado de preparación de la organización que lo ha sufrido. Por ello, es crucial poder evidenciar que se han puesto los medios necesarios para implementar todas las medidas de seguridad obligatorias, la debida diligencia, sin olvidarse de la obligación de que los órganos de dirección reciban formación periódica, que es algo novedoso que hasta ahora no se había visto en otras regulaciones.
Para adecuarse y cumplir con estos nuevos requisitos, muchas organizaciones tendrán que realizar inversiones importantes, como la adopción de soluciones de seguridad avanzada, la contratación de personal especializado y la concienciación y formación de todos los empleados como se ha enfatizado anteriormente, pero todas estas nuevas medidas de obligado cumplimiento reforzarán la capacidad de las organizaciones para anticiparse y responder a ciberataques avanzados, fomentarán la confianza en los servicios digitales entre ciudadanos y empresas, y fortalecerán la cooperación a nivel europeo para poder responder de manera más efectiva a las amenazas cibernéticas de forma coordinada.
Para conocer todos los detalles de cómo afectará a las organizaciones, debemos esperar a que la directiva sea traspuesta al ordenamiento jurídico nacional, en nuestro caso como Ley o Real Decreto Ley, para lo cual existe ya un primer borrador.
Un cambio de paradigma relevante que nos trae la directiva es la responsabilidad de los órganos de dirección en la aprobación de las medidas para la gestión de riesgos de ciberseguridad y la supervisión de su puesta en práctica, respondiendo personalmente por el incumplimiento de las medidas. El Gobierno podrá incluso suspender temporalmente la autorización para prestar un servicio a una entidad esencial o prohibir temporalmente a un director general o el representante legal de la entidad ejercer sus funciones de dirección, relevándole en las mismas si considera que la entidad no está cumpliendo la directiva o, en caso de un incidente de seguridad, que no se está gestionando diligentemente la respuesta al mismo.
En resumen, la Directiva plantea un reto para muchas organizaciones que tendrán que implementar nuevas medidas de seguridad e implantar una cultura de seguridad a todos los niveles, empezando por la Dirección, pero este esfuerzo se verá recompensado con creces al obtener una ventaja competitiva por el hecho de fortalecer su confianza y seguridad en un mundo cada vez más digitalizado. Por contra, las organizaciones que no estén afectadas y no apliquen las mismas medidas de seguridad quedarán claramente en desventaja, con mayor exposición por comparación, y podrán convertirse en el objetivo prioritario de los ciberdelincuentes, por lo que no deberán relajarse e implantar medidas similares, a pesar de no estar obligadas a ello.