Ilier Navarro. La ciberseguridad es un elemento estratégico para el desarrollo de la Unión Europea. De ahí que haya impulsado la directiva NIS2 (LA LEY 26820/2022), cuya trasposición al ordenamiento jurídico español debería realizarse el 17 de octubre para que se aplique a partir del día siguiente, el 18 de octubre, aunque no hay certeza de que España llegue a tiempo. El objetivo de esta norma es contar con un estándar común de ciberseguridad reforzada, que incluye nuevas obligaciones para los Estados miembros y para las entidades públicas y privadas de un número mayor de sectores y subsectores considerados críticos.
Estas son las principales preguntas y respuestas sobre el alcance de esta nueva directiva.
¿Qué es NIS2? Es una nueva directiva europea sobre ciberseguridad que refuerza, amplía y actualiza la actual NIS, en vigor desde 2016. La principal novedad es que establece medidas de seguridad más estrictas para la protección de los sistemas de información y amplía su ámbito de actuación a más industrias que antes no estaban reguladas.
¿Qué entidades están afectadas? En general, tiene efectos en medianas y grandes empresas de los sectores a los que se aplica, pero también abarca a entidades de menor tamaño, siempre que tengan un impacto significativo en la economía y en la sociedad. NIS2 clasifica a las entidades en esenciales e importantes, que tendrán distintos niveles de supervisión y sanciones.
¿A qué sectores afecta? El total de sectores para los que rige esta directiva se estructura en dos grupos diferenciados: los de alta criticidad y los críticos.
¿Cuáles son los sectores de alta criticidad? Son energía; transporte; banca; sector sanitario; infraestructuras de los mercados financieros; agua potable; aguas residuales; infraestructura digital; gestión de servicios TIC; entidades de las Administraciones Públicas (con exclusión del poder judicial, los parlamentos y los bancos centrales); entidades de la industria espacial.
¿Y los sectores críticos? Son los servicios postales de mensajería; gestión de residuos; fabricación, producción y distribución de sustancias y mezclas químicas; producción y transformación y distribución de alimentos; organismos de investigación; proveedores de servicios digitales; y fabricantes de productos sanitarios, informáticos, electrónicos y ópticos, material eléctrico, vehículos, transporte, maquinaria, etc.
¿Qué medidas deben implantar? Las organizaciones obligadas deben adoptar medidas técnicas, operativas y organizativas para gestionar sus riesgos de ciberseguridad. Para ello, deben implementar una serie de políticas relacionadas con la seguridad y el análisis de riesgos, la gestión de incidentes, la continuidad de las actividades del negocio (incluyendo copias de seguridad y recuperación ante desastres), la seguridad en la cadena de suministro, o la notificación de incidentes. Todas estas medidas deben adaptarse de manera proporcionada a los riesgos a los que la entidad se encuentre expuesta y ser acordes con el tamaño de la empresa y la gravedad de los posibles incidentes, considerando el impacto económico y social.
¿Qué son las entidades esenciales y las importantes? Las entidades deben identificarse o ser designadas como esenciales o importantes. Esto dependerá de su tamaño, sector o la criticidad de sus actividades. Como prestan servicios en sectores de alta criticidad, si estos se ven interrumpidos, impactarían negativamente en las operaciones, la economía y en la seguridad de los ciudadanos. Las entidades importantes suelen ser de menor tamaño y el impacto de la interrupción de su actividad sería moderado. Los requisitos de cumplimiento para el establecimiento de políticas, planes y supervisión son más exigentes y estrictas para las empresas que tienen consideración de esencial. Todas ellas deben notificar sin demora los incidentes con impacto significativo.
¿Qué responsabilidad tienen los directivos? Los equipos directivos tienen la responsabilidad sobre la gestión de los riesgos de ciberseguridad en entidades esenciales e importantes. El incumplimiento de NIS2 puede derivar en prohibiciones temporales y multas administrativas. Deben aprobar las medidas de agestión de riesgos y supervisarlas, también formarse ellos y asegurarse de que se ofrece formación regular a los empleados.
¿Qué es la evaluación previa? Se trata de un diagnóstico pormenorizado de los riesgos de ciberseguridad que pueden afectar a la empresa, siguiendo los parámetros que establece la directiva. En él se tienen que identificar las brechas que hay entre las prácticas actuales de la empresa y las obligaciones impuestas por la NIS 2.
¿Qué son las políticas de gestión? Son directrices, procedimientos y planes que permitan llevar a la práctica una serie de actuaciones que se han identificado como necesarias para la gestión de incidentes y continuidad del negocio en la fase de evaluación previa.
¿Cómo deben detectar episodios de riesgo? La entidad debe establecer mecanismos de detección temprana de amenazas y planes de respuesta a los distintos incidentes de seguridad que le puedan afectar.
¿Qué testeos se deben realizar? Las organizaciones deben tener actualizados y parcheados todos sus sistemas y componentes, realizando pruebas de manera regular para asegurar que mantienen sus niveles de resiliencia ante posibles ataques.
¿Qué medidas de evaluación deben desarrollar? La supervisión de todos los sistemas debe ser continua y consistente para mantener su eficacia en la detección y respuesta ante amenazas potenciales. También se debe colaborar con los organismos que tengan competencia en ciberseguridad.
¿Cuáles son las sanciones? NIS2 incluye un endurecimiento de las sanciones en caso de incumplimiento. Las multas para entidades esenciales pueden alcanzar la cifra de 10 millones de euros o el equivalente al 2% de su negocio total anual global, mientras que las que se aplicarían a entidades importantes pueden llegar a 7 millones de euros o a un máximo del 1,4% de su negocio total anual global.
¿Qué deben hacer los Estados? Los Estados tienen que adaptar su normativa y debe colaborador con las entidades para intercambiar información que permita armonizar los niveles de ciberseguridad en la UE. De este modo, lo que se persigue es que la gestión de crisis y de incidentes transfronterizos se realice de manera coordinada.