Directiva NIS2: cómo abordar las nuevas exigencias de la UE en ciberseguridad

Ángel Peña29 noviembre 202312min
La Unión Europea ha dado un paso más en la coordinación de los sistemas y las redes de información para evitar que un ciberataque nos deje a la intemperie. Lo ha hecho con una norma que obliga a tomar medidas extra a determinadas organizaciones consideradas críticas a estos efectos. Analizamos aquí quiénes se ven implicados y cómo deben prepararse para el nuevo reto.

 

La ciberseguridad obsesiona cada vez más a las organizaciones. Con razón. Si, como ya nadie duda, la información es la nueva gran commodity, y la tecnología digital su canal, los ataques informáticos dejan de ser un problema coyuntural para convertirse en un riesgo estratégico central.

La Unión Europea lleva tiempo tomando cartas en el asunto y acaba de dar un paso más con la Directiva (UE) 2022/2555, más conocida como Directiva NIS2 por las siglas de Network and Information Security. Su objetivo es el establecimiento de un marco que fortalezca la protección de los sistemas y las redes de información europeos. La idea es conseguir que, si se producen ataques, la continuidad de los servicios quede garantizada.

Fuente: KPMG

Un informe de KPMG explica que los Estados miembros de la UIE deben tener la norma incorporada a sus legislaciones nacionales antes del 17 de octubre de 2024. En España, concretan, “esto supondrá dejar atrás el actual Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, que en su momento sirvió para trasponer la Directiva NIS1 y comenzar a trabajar con el nuevo marco normativo”.

A qué organizaciones les afecta

Queda tiempo… Pero no tanto. Por eso avisan a las organizaciones obligadas al cumplimiento de esta regulación para que comiencen a abordar los cambios necesarios. Los requisitos especialmente estrictos afectan a determinadas organizaciones consideradas críticas en este aspecto. De modo general, recuerdan desde KPMG que la norma “impacta especialmente a los proveedores de infraestructuras críticas”.

Para más detalle, dicen, hay que concentrarse en el artículo 2 de la Directiva, sobre sujetos obligados, “y no tanto en la distinción de una entidad entre esencial e importante, que no supondrá diferencia en cuanto a medidas u obligaciones a cumplir, sino solamente una distinción en cuanto al nivel de supervisión por parte de las autoridades”.

El artículo 2 establece que los sujetos obligados son:

  1. Medianas y grandes empresas de los sectores y subsectores Anexos I o II
  2. Entidades críticas Directiva 2022/2557
  3. Administración pública local
  4. Supuestos concretos Anexos I y II
  5. Centros de enseñanza
  6. Prestadores de servicios de registro de nombres de dominio

Los supuestos de los sectores de los Anexos I y II quizá sean los más preocupantes, porque “no existe una respuesta general y única, sino que debe analizarse según las particularidades de cada organización”. En este sentido, “es preciso realizar un análisis de diferentes normativas especiales y sectoriales”.

 

El criterio para saber si una organización está implicada está en el artículo 2 de la Directiva, y no tanto en la distinción entre entidad esencial e importante, que no supondrá diferencia en medidas u obligaciones.

 

¿Qué hay que tener preparado?

Una vez establecido que la organización se encuentra en la órbita de la Directiva, el informe explica que las medidas que se adopten “deben basarse en un enfoque de gestión holístico y orientado a las amenazas con el fin de prevenir los incidentes de seguridad o minimizar su impacto”. Distingue estos grandes campos de actuación.

1.- Gobierno y responsabilidad de la dirección

En primer lugar, el articulado de la Directiva NIS2 exige a los estados miembros que garanticen que los órganos de dirección de las organizaciones:

• Aprueben “las medidas de gestión de los riesgos de ciberseguridad adoptadas por dichos órganos para cumplir lo dispuesto en el artículo 21, supervisen la aplicación de dichas medidas y puedan llegar a ser incluso responsables de las infracciones previstas en dicho artículo”.

• Se mantengan “actualizados en cuanto a formación se refiere, y se les anima a ofrecer una formación a sus empleados de forma periódica”. De este modo, sostiene el estudio, “los empleados adquieren conocimientos y aptitudes suficientes que les permiten identificar los riesgos y evaluar prácticas de gestión de riesgos de ciberseguridad y su impacto en los servicios prestados por la organización”.

2.- Requisitos de seguridad: resiliencia y gestión del riesgo

Por otro lado, las “organizaciones esenciales e importantes”, como las denomina la Directiva, están obligadas a adoptar “medidas técnicas, operativas y organizativas para gestionar los riesgos de seguridad de las redes y sistemas de información”.

• La proporcionalidad “se basa en la exposición al riesgo de la organización, su tamaño y la probabilidad y gravedad de posibles incidentes, incluido el impacto económico y social”. Las organizaciones deben adoptar un enfoque concreto que les permita estar preparadas frente a todo el espectro de incidentes y emergencias y ser capaces de proteger los sistemas de red e información y el entorno físico de dichos sistemas.

• Dentro de estas medidas, se debe prestar especial atención a la cadena de suministro, ya que “tanto la Directiva NIS2 como otras normas en potencia, como la propuesta de Ley de Ciberresiliencia, hacen hincapié en los riesgos provenientes de la cadena de suministro de una entidad y su relación con proveedores”.

• Las entidades esenciales e importantes deben evaluar y tener en cuenta “la calidad general y resiliencia de los productos y los servicios, las medidas para la gestión de riesgos de ciberseguridad integradas en ellos y las prácticas en materia de ciberseguridad de sus proveedores y prestadores de servicios, incluidos sus procedimientos de desarrollo seguro”.

• Deberán incorporar medidas para la gestión de riesgos de ciberseguridad “en los acuerdos contractuales con sus proveedores y prestadores de servicios directos”.

3. Gestión de incidentes: obligación de notificar

Mediante la supervisión de los EEMM, las organizaciones están obligadas a notificar al CSIRT (Equipos de Ciberseguridad y Gestión de Incidentes, el español se puede consultar en este link) o, en su caso a la autoridad competente en caso de un impacto significativo en la prestación de sus servicios.

 

La directiva obliga a los órganos de dirección de las organizaciones afectadas a mantenerse actualizados en cuanto formación y se les anima a ofrecérsela a sus empleados de forma periódica.

 

En caso de un incidente significativo, las organizaciones deben informar a los destinatarios de los servicios de la entidad que se puedan ver afectados de “las medidas o soluciones que pueden aplicar para responder a la amenaza, y en ocasiones la propia amenaza”.

Finalmente, “con unos plazos acotados, y la tipología de información a notificar tasada en la Directiva”, las organizaciones también deben tener en consideración que “el trabajo colaborativo entre entidades en la gestión de incidentes se considera fundamental por parte de los legisladores europeos”.

4. Certificación de sistemas y productos

El informe de KPMG concluye recordando que la Directiva “introduce una serie de requisitos en cuanto a la certificación de servicios, sistemas y/o productos bajo el paraguas de esquemas europeos de certificación, acordes a la normativa europea, sean o no de entidades esenciales”.

Aún quedan cabos sueltos

Los autores matizan que quedan aspectos pendientes en manos de los Estados miembros, que los deben regular antesde octubre de 2024. Destacan:

1. Definición del listado exhaustivo de entidades esenciales y entidades importantes. Además de los listados de los sectores de los Anexos de la propia Directiva, “muchas empresas buscan una confirmación oficial, especialmente en aquellos casos donde por sector no pudieran aplicarle, pero sí por importancia al sistema económico/social del mercado español”.

2. Medidas de seguridad. Como ocurrió con la Directiva original, la definición de medidas de seguridad por las que serán evaluadas las organizaciones “es muy leve”. Una de las principales incógnitas a resolver será “si en estos dominios de control que, previsiblemente, incluirá una futura normativa nacional, incluye aspectos novedosos que pueden afectar a la ciberseguridad como puede ser la inteligencia artificial”.

Consejos para empezar a prepararse
Dado lo ajustado de los tiempos, las organizaciones concernidas por el cambio normativo les conviene ir preparándose para los ajustes que se les demandará. El análisis de KPMG incluye una batería de consejos:

1. Promover la sensibilización dentro de la organización. La adopción de la nueva NIS2 debe formar parte de la agenda de las organizaciones obligadas a su cumplimiento, tanto en términos de presupuesto como de estrategia. Dado el corto plazo hasta que la NIS2 sea aplicable, los requisitos necesarios para su cumplimiento deben estar entre las primeras preocupaciones de la dirección y demás áreas involucradas. Esto incluye la elaboración de un plan de información.

2. Solución ágil para cumplir con el deadline establecido. Poner atención en los principales puntos de riesgo ayuda a mejorar el nivel de ciberseguridad corrigiendo de forma más inmediata los puntos débiles.

3. Garantizar el gobierno y promover responsabilidad. Cuando no hay un propietario del riesgo asignado, es muy probable que este no se detecte a tiempo o no se resuelva de forma correcta cuando se materialice, por lo que una correcta asignación de responsabilidades y gobernanza sobre los riesgos será fundamental para poder hacer frente de manera eficiente a las exigencias relacionadas con la detección y notificación de incidentes que establece la NIS2.


Observatorio de Recursos Humanos

ORH | Observatorio de Recursos Humanos

Desde 2006 trabajamos para ofrecer contenidos e información de valor para el profesional de la gestión de RRHH, con el convencimiento de que el conocimiento, en sus vertientes de creatividad, innovación y aprendizaje continuo, es el principal valor de una dirección eficaz.



Contacta con nosotros


Nuestros Otros Proyectos


Suscríbete al boletín

* campos obligatorios
Acepto las condiciones de uso y la política de privacidad


Síguenos en Redes Sociales