La Directiva NIS2 y su relevancia para la ciberseguridad corporativa
En la era actual, caracterizada por una creciente dependencia de la tecnología y la digitalización, las empresas enfrentan retos sin precedentes en la protección de sus sistemas de información y datos personales. La reciente implementación de la Directiva NIS2 por la Unión Europea representa un cambio significativo en el panorama de la ciberseguridad, introduciendo medidas más rigurosas y ampliando su alcance para abarcar una mayor variedad de sectores.
En este contexto, Laura Bachs Winter, especialista en protección de datos global, nos guía a través de los aspectos más críticos de esta nueva legislación. Este artículo ayuda a entender cómo la Directiva NIS2 no solo impacta la operativa diaria de las organizaciones sino que también establece un marco seguro para la cooperación internacional, ofreciendo claves para una adaptación exitosa. Para líderes empresariales, profesionales de la ciberseguridad y responsables de la protección de datos, comprender estos cambios es fundamental para navegar con éxito en un entorno digital cada vez más complejo y regulado.
NIS 2 (UE 2022/2555)+ DORA (DIRECTIVA RESILIENCIA OPERATIVA DIGITAL DEL SECTOR FINANCIERO) PUBLICADAS EN EL DOUE EL 27 DE DICIEMBRE.
La Directiva NIS2, que refuerza las medidas de ciberseguridad a nivel de la UE, se implementó el 16 de enero de 2023. Los estados miembros, incluyendo a España, tienen el mandato de transponer y publicar las disposiciones requeridas para cumplir con la directiva antes del 17 de octubre de 2024. Esto implica que España, al igual que otros miembros de la UE, debe adaptar su legislación nacional para cumplir con la Directiva NIS2 dentro del plazo establecido. Para el 25 de enero de 2025, los estados deben informar a la Comisión Europea sobre las sanciones correspondientes y especificar las entidades consideradas esenciales o importantes. Abril de 2025 es la fecha límite para elaborar la lista definitiva de dichas entidades.
Las organizaciones deberán asegurarse de cumplir con los requerimientos clave de la Directiva para octubre de 2024. En España, esto conlleva la actualización del Real Decreto-ley 12/2018, de seguridad de las redes y sistemas de información, que anteriormente transpuso la Directiva NIS1, para alinearse con el nuevo marco regulatorio.
El criterio para determinar si una entidad debe acatar la NIS2 se basa en su artículo 2, que se enfoca en los sujetos obligados más que en la distinción entre entidades esenciales e importantes. Esta última clasificación afecta principalmente el nivel de supervisión por parte de las autoridades competentes. Según este artículo, están obligados a cumplir:
- Empresas medianas y grandes de los sectores listados en los Anexos I o II.
- Entidades identificadas como críticas en la Directiva 2022/2557.
- Administraciones públicas locales.
- Casos específicos mencionados en los Anexos I y II.
- Instituciones educativas.
- Proveedores de servicios de registro de nombres de dominio.
Para entender a fondo los requisitos de la Directiva NIS2, es crucial analizar las implicaciones en la protección de datos y ciberseguridad, lo que incluye comprender los fundamentos y objetivos de la Directiva, su alcance, las definiciones de entidades esenciales e importantes, y la relación con la protección de datos personales, en sintonía con el RGPD y otras regulaciones relevantes.
INTRODUCCIÓN A LA DIRECTIVA NIS2
La Directiva NIS2 es un paso decisivo de la Unión Europea para consolidar la resiliencia y la protección cibernética en los sistemas de información y redes de sus estados miembros. Esta legislación actualizada y expandida se dirige a superar limitaciones previas y enfrentarse a amenazas cibernéticas en constante evolución. Su ámbito se extiende a sectores cruciales que sostienen las funciones
esenciales de la sociedad y la economía, tales como el energético, el transporte, el financiero, la salud, el abastecimiento de agua, infraestructuras digitales y la administración pública.
OBJETIVOS Y ÁMBITO DE APLICACIÓN
Los objetivos fundamentales de la Directiva NIS2 incluyen:
- Establecer un nivel homogéneo y elevado de ciberseguridad a lo largo de la UE.
- Impulsar la cooperación transnacional entre estados miembros.
- Mejorar las capacidades nacionales frente a ciberamenazas.
- Crear un esquema de gestión de riesgos y reporte de incidentes para entidades clave.
Con un alcance ampliado, la Directiva clasifica a las entidades en esenciales o importantes, basándose en su relevancia económica y social, lo cual determina sus responsabilidades específicas en cuanto a seguridad y reporte de incidentes. Esta categorización refleja la integración de la ciberseguridad dentro del marco de protección de datos personales.
Además, la nueva regulación NIS2 está alineada con los objetivos de la legislación nacional para:
- Fortalecer los protocolos de seguridad, incluyendo la respuesta a incidentes, la gestión de crisis y la revelación de vulnerabilidades.
- Mejorar la protección de la cadena de suministros en el ámbito de las tecnologías de la información y la comunicación.
- Detallar las obligaciones de notificación de incidentes con directrices más claras sobre el proceso, contenido y cronograma de las mismas.
En resumen, la Directiva NIS2 es una normativa ambiciosa que busca elevar la seguridad de las redes y sistemas de información en múltiples frentes, garantizando así una coordinación efectiva entre las autoridades competentes.
APLICABILIDAD DE LA DIRECTIVA NIS2 EN SECTORES CLAVE
La Directiva NIS 2 se extiende a un total de 18 sectores esenciales para la sociedad y la economía, clasificados en dos categorías según su nivel de importancia:
SECTORES DE ALTA CRITICIDAD: Incluyen infraestructuras cruciales tales como:
- Energía
- Sector bancario
- Infraestructuras del mercado financiero
- Sector sanitario
- Transporte
- Infraestructura digital
- Suministro y tratamiento de aguas
- Administración pública (exceptuando el poder judicial, parlamentos y bancos centrales)
- Servicios TIC empresariales (B2B)
- Sector espacial
OTROS SECTORES CRÍTICOS: Comprenden áreas vitales como:
- Investigación
- Industria química
- Alimentación
- Servicios postales
- Proveedores digitales
- Fabricación
- Gestión de residuos
CLASIFICACIÓN DE ENTIDADES SEGÚN NIS2
La Directiva distingue entre dos tipos de entidades para una mejor implementación de las medidas de seguridad:
ENTIDADES ESENCIALES: Se refiere a aquellas pertenecientes a sectores de alta criticidad y otros definidos como tal por el estado miembro, que incluyen:
- Prestadores cualificados de servicios de confianza
- Registradores de nombres de dominio de primer nivel y proveedores de servicios DNS
- Proveedores de redes y servicios de comunicación electrónicos de uso público
- Entidades de la Administración pública y otros sectores críticos específicos
- Entidades críticas según la Directiva CER
- Operadores de servicios esenciales definidos por la Directiva NIS anterior, si el Estado miembro así lo considera
ENTIDADES IMPORTANTES: Son aquellas que, aunque pertenecen a sectores de alta criticidad o a otros sectores críticos, no se clasifican como entidades esenciales.
INTEGRACION DE LA CIBERSEGURIDAD Y PROTECCIÓN DE DATOS EN LA NIS2
La Directiva NIS2, aunque enfocada primordialmente en la ciberseguridad de redes y sistemas, está intrínsecamente ligada a la protección de datos personales. Al establecer sinergias con el Reglamento General de Protección de Datos (RGPD), se forja un marco cohesivo que abarca tanto la seguridad de la información como la privacidad de los datos.
IMPLEMENTACIÓN DE MEDIDAS DE SEGURIDAD Y PROTOCOLOS DE RESPUESTA
Bajo la Directiva NIS2, se requiere que entidades clave implementen estrategias de seguridad detalladas y efectivas. Las medidas técnicas y organizativas deben estar alineadas con los niveles de riesgo identificados y pueden incluir lo siguiente:
- Sistemas avanzados de gestión de la seguridad de la información.
- Protocolos sólidos para la respuesta a incidentes.
- Estrategias de continuidad operacional ante eventos cibernéticos.
- Tácticas de defensa multicapa para mitigar el impacto de posibles brechas de seguridad.
Estas estrategias están diseñadas para preservar la integridad, disponibilidad y confidencialidad de los sistemas de información, y por extensión, proteger los datos personales que se procesan dentro de estos sistemas.
Protocolo de notificación de Incidentes
Se establece un procedimiento claro para la notificación de incidentes de ciberseguridad. Las entidades están obligadas a reportar a las autoridades competentes cualquier evento significativo en un tiempo estipulado, lo que facilita una respuesta coordinada y eficiente. La pronta notificación es crucial para la protección de datos, permitiendo la rápida activación de medidas correctivas para salvaguardar la información personal.
Supervisión y cumplimiento
Los organismos nacionales de ciberseguridad están encargados de garantizar la correcta implementación de las medidas de seguridad y evaluar la conformidad con la Directiva. Esto implica realizar inspecciones y, cuando sea necesario, aplicar sanciones por incumplimientos. Este mecanismo no solo asegura la seguridad de las infraestructuras digitales sino que también refuerza la protección de los datos personales.
FOMENTO DE LA COOPERACIÓN TRANSFRONTERIZA Y REDES DE COLABORACIÓN
La Directiva NIS2 refuerza la cooperación transfronteriza en la gestión de incidentes cibernéticos y promueve la creación de redes de cooperación a nivel de la UE. Esta colaboración es fundamental para enfrentar desafíos cibernéticos que no conocen de fronteras, permitiendo un intercambio de información y mejores prácticas entre los Estados miembros.
Grupos de Cooperación y Red de CSIRTs
Se establecen Grupos de Cooperación para impulsar el intercambio estratégico de información y la colaboración. Funcionan como plataformas para debatir retos de seguridad cibernética, compartir análisis de riesgo y coordinar acciones ante incidentes de magnitud. Paralelamente, se promueve el establecimiento y robustecimiento de Equipos de Respuesta a Incidentes de Seguridad Informática (CSIRTs) nacionales y una red europea de CSIRTs, acelerando la respuesta a amenazas y vulnerabilidades y fomentando el intercambio de estrategias de mitigación.
REFUERZO EN LA PROTECCIÓN DE DATOS PERSONALES
La cooperación internacional y las redes de colaboración resultan fundamentales para la protección de datos personales en Europa. Compartiendo datos sobre amenazas y vulnerabilidades, así como tácticas efectivas de prevención, los estados miembros y entidades refuerzan sus defensas contra ataques que podrían vulnerar datos personales. El intercambio y la coordinación mejoran la seguridad de las redes y contribuyen a la protección de datos personales, previniendo violaciones de seguridad y reduciendo el impacto de incidentes.
Conclusión
La Directiva NIS2 marca un avance significativo hacia una estrategia unificada de ciberseguridad en la UE, ampliando su alcance a más sectores y subrayando la cooperación internacional. Con esta directiva, se refuerza la seguridad de la infraestructura informática y se promueve una protección más firme de los datos personales ante desafíos cibernéticos en aumento.