La Directiva NIS2 refuerza la Ciberseguridad en Europa

La Directiva 2022/2555 del Parlamento Europeo y del Consejo, más conocida como NIS2, tiene como objetivo establecer un marco regulador común de ciberseguridad en los 27 estados miembro de la Unión Europea, obligando a mejorar la ciberseguridad a las organizaciones que prestan servicios críticos en los países de la UE, tanto públicas como privadas, mediante la implementación de una serie de medidas técnicas y organizativas y mejorar también la resiliencia de las infraestructuras críticas y de los servicios digitales.

Image description

La directiva debería haber estado transpuesta (o traspuesta) al ordenamiento jurídico nacional antes del pasado 17 de octubre, pero hasta el momento son pocos los países que lo han hecho, incluyendo España. Un retraso que ya vimos con la anterior Directiva NIS (Network and Information Systems) de 2016 que fue transpuesta tiempo después del plazo fijado en el Real Decreto-ley 12/2018 y el RD 43/2021.

Su actualización va encaminada a que las organizaciones afectadas se adapten a los nuevos retos que plantea la evolución del panorama de amenazas cibernéticas, ampliando las organizaciones afectadas y el alcance de las medidas obligatorias para reforzar los requisitos de seguridad y a promover una mayor colaboración entre los países miembros a la hora de gestionar incidentes cibernéticos.

La Agencia de Ciberseguridad de la Unión Europea (ENISA) jugará un papel destacado en el desarrollo de estándares comunes y en la supervisión de su implementación, así como para promover una mayor cooperación entre los países miembros facilitando así los mecanismos de intercambio de información y buenas prácticas.

En cuanto a qué organizaciones afecta, todavía existen dudas en determinadas organizaciones de si están o no obligadas a su cumplimiento puesto que, aunque se han publicado unos criterios que no dan lugar a dudas en la mayoría de los casos, también hay excepciones que deberán ser determinadas a nivel nacional. Las organizaciones afectadas son las entidades de sectores de alta criticidad y de otros sectores críticos, tanto del sector público como del sector privado, que se consideren grandes o medianas, considerándose estas últimas a las que tienen entre 50 y 250 empleados y con un volumen de negocios hasta los 50 millones de euros. Sin embargo, hay excepciones que podrían afectar a empresas por debajo de esos umbrales en caso de que la entidad sea el único proveedor de un servicio esencial para el mantenimiento de actividades económicas críticas, o cuando una perturbación del servicio prestado por la entidad pudiera tener repercusiones significativas sobre la seguridad pública, el orden público o la salud pública, entre otros.

En la directiva se distingue entre entidades esenciales y entidades importantes, en función del grado de criticidad del sector al que pertenecen, de los servicios que presten y de su tamaño. Entre las entidades esenciales, se encuentran la Administración Pública central, las grandes empresas pertenecientes a sectores de alta criticidad especificados en un determinado anexo, los operadores de servicios esenciales, prestadores de servicios electrónicos de confianza, etc. Por otro lado, se considera entidad importante a aquellas de sectores de alta criticidad o a otros sectores críticos que no sean consideradas entidades esenciales.

Las principales novedades de la nueva Directiva en cuanto a las medidas técnicas y organizativas consisten en la obligación de que las organizaciones incluidas en el alcance tengan o establezcan medidas de seguridad técnica y organizativa como una gestión de riesgos formal, procedimientos de respuesta a incidentes efectivos y debidamente probados, planes de continuidad del negocio y recuperación ante desastres o planes de concienciación y formación para los empleados.

Las medidas de seguridad vienen determinadas en el artículo 21 organizadas en diez agrupaciones de requisitos o medidas de seguridad mínimas que cada entidad deberá implementar, y que se deberán aplicar tanto a las entidades esenciales como a las importantes, aunque con mayor nivel de exigencia para las primeras.

Una novedad importante es la relativa a la gestión de incidentes y notificación. En este sentido, las entidades dentro del alcance están obligadas a notificar los incidentes significativos en un plazo máximo de 24 horas desde su detección a su CERT/CSIRT de referencia, CCN-CERT o INCIBE-CERT dependiendo de si se trata de organizaciones públicas o privadas. Ello para facilitar una respuesta coordinada y eficiente, y así poder compartir con otras organizaciones los detalles de las técnicas y tácticas utilizadas en el ciberataque junto con recomendaciones para la respuesta al incidente para que otras organizaciones puedan estar prevenidas en caso de sufrir un incidente similar. Las organizaciones también tendrán la obligación de notificar de forma inmediata a los destinatarios de sus servicios aquellos incidentes susceptibles de afectar negativamente a la prestación de dichos servicios.

Los CSIRT también podrán llevar a cabo una exploración proactiva, y no intrusiva, de los sistemas de redes y de información de acceso público de entidades esenciales e importantes, con objeto de detectar vulnerabilidades o configuraciones inseguras y así informar a las entidades afectadas. Deberán asegurarse de que ello no tenga ningún impacto negativo en el funcionamiento de los servicios de las entidades.

Las empresas también deberán evaluar y gestionar los riesgos de ciberseguridad en sus cadenas de suministro, incluyendo proveedores tecnológicos críticos como servicios de computación en la nube, lo que requerirá mayor colaboración y supervisión de proveedores que en los últimos años se han convertido en el eslabón más débil de la cadena a tenor de los últimos ciberataques perpetrados contra las cadenas de suministro de las grandes empresas.

Habida cuenta de que el usuario es el eslabón más débil de la cadena, la directiva obliga en su artículo 20.2 a que todos los empleados reciban formación en ciberseguridad de forma regular, encomendando a la Dirección la responsabilidad de que así sea, y haciendo especial énfasis en la propia formación de los órganos de dirección que deberán evidenciar, en caso de ser requerido, que la han recibido.

Para facilitar su cumplimiento a aquellas organizaciones obligadas a cumplir con el Esquema Nacional de Seguridad (ENS), el Centro Criptológico Nacional (CCN) ha publicado una guía (CCN-STIC 892), en la que se detalla lo necesario para cumplir con las disposiciones de la Directiva a partir del ENS, para que las organizaciones puedan empezar a prepararse a la espera de la transposición que podría implicar alguna variación, aunque mínima.

En cuanto a las sanciones económicas, la Directiva impone sanciones más severas por el incumplimiento que pueden alcanzar hasta el 2% del volumen de negocios global de la empresa o 10 millones de euros a aquellas entidades esenciales que no cumplan con la NIS2, y de las que se prevé una aplicación severa en caso de sufrir un incidente de seguridad con consecuencias. No obstante, habrá que esperar a la transposición para conocer los porcentajes y importes finales de estas sanciones que, como es habitual, dependerán también de la gravedad del incidente y del grado de preparación de la organización que lo ha sufrido. Por ello, es crucial poder evidenciar que se han puesto los medios necesarios para implementar todas las medidas de seguridad obligatorias, la debida diligencia, sin olvidarse de la obligación de que los órganos de dirección reciban formación periódica, que es algo novedoso que hasta ahora no se había visto en otras regulaciones.

Para adecuarse y cumplir con estos nuevos requisitos, muchas organizaciones tendrán que realizar inversiones importantes, como la adopción de soluciones de seguridad avanzada, la contratación de personal especializado y la concienciación y formación de todos los empleados como se ha enfatizado anteriormente, pero todas estas nuevas medidas de obligado cumplimiento reforzarán la capacidad de las organizaciones para anticiparse y responder a ciberataques avanzados, fomentarán la confianza en los servicios digitales entre ciudadanos y empresas, y fortalecerán la cooperación a nivel europeo para poder responder de manera más efectiva a las amenazas cibernéticas de forma coordinada.

Para conocer todos los detalles de cómo afectará a las organizaciones, debemos esperar a que la directiva sea traspuesta al ordenamiento jurídico nacional, en nuestro caso como Ley o Real Decreto Ley, para lo cual existe ya un primer borrador.

Un cambio de paradigma relevante que nos trae la directiva es la responsabilidad de los órganos de dirección en la aprobación de las medidas para la gestión de riesgos de ciberseguridad y la supervisión de su puesta en práctica, respondiendo personalmente por el incumplimiento de las medidas. El Gobierno podrá incluso suspender temporalmente la autorización para prestar un servicio a una entidad esencial o prohibir temporalmente a un director general o el representante legal de la entidad ejercer sus funciones de dirección, relevándole en las mismas si considera que la entidad no está cumpliendo la directiva o, en caso de un incidente de seguridad, que no se está gestionando diligentemente la respuesta al mismo.

En resumen, la Directiva plantea un reto para muchas organizaciones que tendrán que implementar nuevas medidas de seguridad e implantar una cultura de seguridad a todos los niveles, empezando por la Dirección, pero este esfuerzo se verá recompensado con creces al obtener una ventaja competitiva por el hecho de fortalecer su confianza y seguridad en un mundo cada vez más digitalizado. Por contra, las organizaciones que no estén afectadas y no apliquen las mismas medidas de seguridad quedarán claramente en desventaja, con mayor exposición por comparación, y podrán convertirse en el objetivo prioritario de los ciberdelincuentes, por lo que no deberán relajarse e implantar medidas similares, a pesar de no estar obligadas a ello.

Tu opinión enriquece este artículo:

El precio de la vivienda de segunda mano en Cataluña aumenta un 2,3% en 2024 (con un promedio de 2.824 €/m2 en diciembre)

El precio de la vivienda de segunda mano en Cataluña cierra 2024 con un incremento anual del 2,3% y sitúa el precio de diciembre en 2.824 €/m2, según los datos del informe de “La vivienda de segunda mano en 2024” elaborado a partir del Índice Inmobiliario Fotocasa.  Así, la subida anual de este 2024 (2,3%) es la más baja registrada en este periodo en el Índice Inmobiliario Fotocasa en sus 19 años de análisis.

Gerona, quinta provincia con mayor aumento en reservas online de restaurantes en 2024

Como cada mes de enero, TheFork, la plataforma líder de reservas online en restaurantes, ha elaborado su balance anual que analiza cómo ha funcionado el sector de la restauración en España en el 2024. En esta ocasión, el informe concluye que Gerona, con un +14%, fue la quinta provincia a nivel nacional que registró un mayor crecimiento porcentual de sus reservas online en restaurantes el pasado año. Completan el ranking del TOP 5 en España las regiones de Málaga, con un 20%, Guipúzcoa y Tenerife, ambas con un 19%; así como Granada, empatada con la región gerundense, con un 14%. 

De vivienda abandonada a villa de lujo: la increíble transformación en Barcelona impulsada por la inversión colectiva

El crowdfunding y los avances tecnológicos han transformado el sector inmobiliario tal y como hasta ahora lo conocemos, haciendo posible lo que hace unos años parecía inimaginable: que cualquier persona, independientemente de su capacidad económica, pueda tener acceso a proyectos de alto impacto, desde convertirse en copropietario de una promoción de vivienda hasta impulsar la rehabilitación de espacios urbanos abandonados.

El Tech Tourism Cluster alcanza los 1.500 millones de euros en facturación (y prevé un crecimiento del 10% en 2025)

Tech Tourism Cluster (TTC), la entidad que agrupa empresas híbridas entre tecnología y turismo con el objetivo de mejorar la competitividad del sector, ha cerrado 2024 con 1.500 millones de euros de facturación acumulada y un total de 102 socios. De cara a 2025, la entidad prevé un incremento del 20% en el número de socios, acompañado de un aumento del 10% en la facturación acumulada, con el objetivo de consolidar su papel como un agente clave en la transformación del sector turístico.

Empresarios de Ceuta y Melilla denuncian incumplimientos y falta de transparencia en la apertura de aduanas con Marruecos

Las Confederaciones de Empresarios de Ceuta y de Melilla, CECE-CEOE y CEME-CEOE respectivamente, han emitido un comunicado conjunto en el que denuncian los "reiterados incumplimientos" en la apertura de las aduanas de ambas ciudades con Marruecos, al tiempo que critican "la opacidad" a la hora de informarles sobre como transcurren las negociaciones con el reino alauí en esta materia.

La industria española impulsa una gran transformación en 2025: tecnología, sostenibilidad y nuevas dinámicas laborales marcan el futuro del empleo

La industria española vive un momento crucial, marcado por una transformación sin precedentes que está redefiniendo las oportunidades laborales. Según el informe “Tendencias de Empleo en el Sector Industrial y Sectores Industriales más Activos - 2025”, elaborado por Catenon, multinacional tecnológica especializada en la búsqueda global de talento, la digitalización, la sostenibilidad y los nuevos modelos laborales serán los grandes protagonistas en los próximos años.

Éste sitio web usa cookies, si permanece aquí acepta su uso. Puede leer más sobre el uso de cookies en nuestra política de cookies.