Saltar al contenido

Directiva Europea NIS2 – España

Compartir en:
NIS2 Europa

Introducción

En nuestro loquísimo mundo digital (por lo menos el mío), la ciberseguridad se ha convertido en un pilar fundamental para la estabilidad y el desarrollo económico de todos los estados. La Directiva NIS2 emerge como una respuesta necesaria de la Unión Europea para salvaguardar sus infraestructuras críticas (ya veremos). Sabemos que las regulaciones nunca son perfectas (qué cosas he?!), pero es un primer paso a un mal muy necesario.

Esta normativa refleja la evolución de las amenazas digitales, además, también establece un marco de acción decisivo para prevenir, detectar y responder a incidentes de seguridad que podrían comprometer tanto a individuos como a naciones enteras.

Con la implementación de la Directiva NIS2, la UE demuestra su compromiso con la defensa de sus sistemas de información y redes (10 años tarde), asegurando así la continuidad y la resiliencia de los servicios esenciales para la sociedad, llega tarde, sí, pero menos da una piedra.

Vale otra Ley, pero ¿qué es exactamente NIS2?

Yendo muy al grano, la Directiva NIS2 es una actualización de la legislación de la UE que amplía la protección en seguridad de la información a sectores esenciales, imponiendo medidas de seguridad rigurosas (alineadas con estándares internacionales como la ISO 27001) y gestión de incidentes.

Distingue entre entidades ‘esenciales’ e ‘importantes’, enfatiza la seguridad en la cadena de suministro y promueve la cooperación entre Estados miembros. Con sanciones establecidas para el incumplimiento, la NIS2 busca fortalecer la resiliencia de la infraestructura crítica europea frente a las amenazas de seguridad.

NIS2 ciclo de vida
  • Ampliación del Ámbito de Aplicación

La NIS2 extiende su cobertura a una gama más amplia de sectores y servicios esenciales, desde energía y transporte hasta salud y suministro de agua, así como a ciertos proveedores de servicios digitales.

  • Obligaciones de Ciberseguridad y seguridad de la información.

Ya no vale todo, no podemos tener nuestros entornos de cualquier manera. Esta normativa establece obligaciones específicas para los Estados miembros y las entidades dentro de su ámbito de aplicación, incluyendo la gestión de riesgos de ciberseguridad y la notificación obligatoria de incidentes (ya era hora).

  • Entidades Esenciales e Importantes

Introduce una nueva categorización de entidades, diferenciando entre ‘esenciales’ e ‘importantes’, basada en el nivel de criticidad de sus servicios. Aquí está la laguna, no está muy claro donde aplica la norma hasta ver la adaptación española.

  • Medidas de Seguridad y Gestión de Incidentes

Requiere que las entidades afectadas adopten medidas de seguridad adecuadas (vale, pero ¿esto que es?, me huelo una copia pega de la ISO) y gestionen eficazmente los incidentes de ciberseguridad, asegurando la continuidad del negocio y la recuperación tras un incidente, misión complicada pero necesaria.

  • Seguridad en la Cadena de Suministro

Pone un énfasis particular en la seguridad de la cadena de suministro, reconociendo la importancia de proteger toda la red de proveedores y socios contra riesgos de ciberseguridad.

  • Cooperación y Coordinación

Promueve la cooperación y coordinación entre los Estados miembros, estableciendo mecanismos para que las autoridades competentes trabajen conjuntamente en la prevención y respuesta a incidentes.

  • Sanciones por Incumplimiento

Define un marco de sanciones para asegurar el cumplimiento efectivo de las obligaciones, con el objetivo de disuadir las infracciones y garantizar la seguridad a nivel europeo. Esto es lo que va a hacer ponerse las pilas a las empresas.

A Quién Aplica

Esta normativa se aplica a una amplia gama de entidades y sectores. Como podrás imaginar, tendrás que estudiar tu caso, pero si operas en alguno de estos, tienes que cumplir.

  1. Entidades Esenciales: Estas son organizaciones y empresas que proporcionan servicios esenciales para el mantenimiento de funciones sociales y económicas críticas. Esto incluye sectores como energía (por ejemplo, Iberdrola o una pequeña empresa de energía renovable), transporte (como Renfe o una empresa local de autobuses), salud (hospitales y centros de salud, pero también clínicas pequeñas), suministro de agua (Aguas de Barcelona), infraestructuras digitales, servicios financieros (Banco Santander, BBVA o una cooperativa de crédito) y servicios digitales (Amazon, Google o una startup de tecnología), entre otros.
  2. Entidades Importantes: Estas son organizaciones y empresas que, aunque no son vitales para la sociedad, su fallo podría tener un impacto significativo en la economía y la sociedad. La Directiva NIS2 establece criterios específicos para determinar qué entidades se consideran ‘importantes’. Aquí podríamos hablar de empresas como Mercadona, Inditex o una pequeña empresa con patentes clave, o empresas de suministro clave.
  3. Proveedores de Servicios Digitales: Esto incluye a los proveedores de servicios de la sociedad de la información, como los mercados en línea (eBay, Wallapop o una pequeña plataforma de venta online si el producto es relevante), los motores de búsqueda en línea (Google, Bing o un motor de búsqueda especializado) y los servicios de computación en la nube (AWS, Azure o una empresa de hosting).
Sectores afectados por NIS2
Fuente: FAQ NIS2 | INCIBE-CERT | INCIBE

Y no te creas que si estás fuera de la UE te libras. La Directiva NIS2 también se aplica a las entidades establecidas fuera de la UE que ofrecen servicios dentro de la UE. Esto asegura que todos los servicios utilizados dentro de la UE cumplen con los mismos estándares de seguridad, independientemente de dónde estén ubicados.

Por último, pero no menos importante, la Directiva NIS2 también tiene implicaciones para la cadena de suministro. Las entidades cubiertas por la Directiva deben asegurarse de que sus proveedores y socios también cumplen con los requisitos de seguridad adecuados. Así que si eres proveedor de una de estas entidades, más te vale ponerte las pilas.

¿Qué Hay Que Cumplir?

La Directiva NIS2 establece una serie de requisitos que las entidades deben cumplir para garantizar la seguridad de la información. En resumidas cuentas (si estás familiarizado con la ISO27001 te sonará):

  1. Niveles de Gobernanza de la Dirección: Se deben establecer niveles claros de gobernanza y responsabilidad en la dirección de la entidad.
  2. Planes de Formación y Concienciación: Se deben implementar planes de formación y concienciación para asegurar que todos los empleados comprenden la importancia de la seguridad de la información.
  3. Política de Seguridad: Se debe tener una política de seguridad en la adquisición, desarrollo y mantenimiento de sistemas.
  4. Análisis de Riesgos: Se debe realizar una revisión periódica del análisis de riesgos para identificar y gestionar cualquier amenaza a la seguridad de la información.
  5. Gestión de Incidentes: Se debe tener un proceso de gestión de incidentes para responder de manera efectiva a cualquier incidente de seguridad.
  6. Continuidad del Negocio: Se deben establecer procedimientos para la continuidad del negocio para asegurar la resiliencia y la recuperación tras un incidente de seguridad.
  7. Seguridad con Proveedores TIC y Cadena de Suministro: Se debe gestionar la seguridad con los proveedores TIC y la cadena de suministro para proteger toda la red de proveedores y socios contra riesgos de ciberseguridad.
  8. Seguridad en la Red y Monitoreo: Se debe garantizar la seguridad en la red y el monitoreo constante para detectar y responder a incidentes de seguridad.
  9. Objetivos y Métricas de Seguridad: Se deben definir objetivos y métricas de seguridad para medir la eficacia de las medidas de seguridad implementadas.
  10. Uso de Criptografía y Cifrado: Se debe hacer uso de la criptografía y el cifrado para proteger la información.
  11. Seguridad de RR.HH: Se debe gestionar la seguridad de RR.HH, incluyendo el control de acceso y la gestión de activos.
  12. Control de Cumplimiento: Se debe realizar un control de cumplimiento para asegurar que se cumplen todos los requisitos de la Directiva NIS2.

NIS2 en España

La Directiva NIS2, conocida oficialmente como Directiva (UE) 2022/2555, fue publicada el 27 de diciembre de 2022.

En cuanto a su implementación en España, una vez publicada en el Diario Oficial, la Directiva NIS2 entrará en vigor 20 días después de su publicación y los Estados miembros deberán transponer en un plazo de 21 meses los nuevos elementos de la directiva a la legislación nacional. Esto significa que los Estados miembros, incluyendo España, deben transponer la Directiva NIS2 a la legislación nacional aplicable antes del 17 de octubre de 2024, y aplicar esas medidas a partir del 18 de octubre de 2024. En mi opinión y vistos nuestros antecedentes, el tema se alargará previsiblemente más.

La razón por la que aún no hay legislación específica en España se debe a este proceso de transposición. Cada Estado miembro de la UE tiene que adaptar la directiva a su propio marco legal, lo que puede llevar tiempo. Además, la transposición también implica la realización de consultas y debates a nivel nacional para asegurar que la nueva legislación se adapta correctamente al contexto específico del país.

Conclusión

La Directiva NIS2 es un paso importante en la lucha por la ciberseguridad en la UE. Aunque llega tarde, como bien sabemos, es un mal necesario y un primer paso hacia una mayor protección de nuestras infraestructuras críticas. La normativa amplía el ámbito de aplicación, establece obligaciones claras y promueve la cooperación entre los Estados miembros.

Sin embargo, la implementación en España puede llevar tiempo debido al proceso de transposición. Aunque la Directiva NIS2 debería estar transpuesta a la legislación nacional antes del 17 de octubre de 2024, en mi opinión, y viendo nuestros antecedentes, este proceso podría alargarse más de lo previsto.

Además, aunque la normativa distingue entre entidades ‘esenciales’ e ‘importantes’, hay cierta ambigüedad en cuanto a dónde aplica exactamente la norma. Esto podría generar confusión entre las entidades afectadas.

Mi consejo es que, independientemente de si eres una entidad ‘esencial’, ‘importante’ o un proveedor de servicios digitales, empieces a prepararte para cumplir con la Directiva NIS2. Esto incluye establecer niveles de gobernanza, implementar planes de formación y concienciación, gestionar los riesgos de ciberseguridad y prepararte para la notificación obligatoria de incidentes.


Juan Ibero

Inmerso en la Evolución Tecnológica. Ingeniero Informático especializado en la gestión segura de entornos TI e industriales, con un profundo énfasis en seguridad, arquitectura y programación. Siempre aprendiendo, siempre explorando.

Compartir en:
Etiquetas:

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *