Descubre cómo la Directiva NIS2 impactará a las empresas y organizaciones en sectores esenciales y críticos.
Contexto
En diciembre de 2020, la Comisión Europeo presentó una propuesta de Directiva destinada a establecer medidas destinadas a garantizar un elevado nivel común de ciberseguridad. La Directiva 2922/2555 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, conocida como NIS2 (Network and Information Systems), fue publicada en el Diario Oficial de la Unión Europea en diciembre de 2022 y entró en vigor en enero de 2023. Los Estados miembro de la UE tienen hasta el 17 de octubre de 2024 para transponer la Directiva a sus legislaciones nacionales, con su aplicación efectiva a partir del 18 de octubre de 2024.
La Directiva NIS2 representa un avance significativo en la regulación de la ciberseguridad a nivel europeo, sustituyendo la anterior Directiva NIS1, que fue incorporada al derecho español mediante el Real Decreto-ley 12/2018, de 7 de septiembre, sobre la seguridad de las redes y sistemas de información. La nueva normativa exige que determinadas organizaciones adopten medidas estrictas de seguridad cibernética y notifiquen incidentes que puedan poner en riesgo sus operaciones. NIS2 distingue entre entidades esenciales y entidades importantes, imponiendo requisitos más rigurosos a las primeras. Ambas categorías deben cumplir con diez grupos de medidas de seguridad, aunque con diferentes niveles de exigencia.
Empresas y organizaciones afectadas por NIS2
La Directiva NIS2 tiene un alcance amplio y afecta a una variedad de organizaciones tanto en el sector público como privado. Las principales entidades afectadas incluyen:
- Empresas medianas y grandes, tanto del sector público como privado, que trabajan en sectores muy importantes o críticos. Estos sectores se detallan en la Directiva NIS2 y pueden incluir industrias como energía, transporte o salud.
- Ciertas entidades pertenecientes a sectores de alta criticidad o a otros sectores críticos, con independencia de su tamaño, como:
-
- Proveedores de servicios de internet o comunicaciones electrónicas públicas.
- Empresas que gestionan dominios de internet o servicios de DNS.
- Únicos proveedores en un país de servicios esenciales para la sociedad o la economía.
- Entidades cuyo fallo en el servicio podría afectar la seguridad, el orden o la salud pública.
- Empresas que, si fallan, podrían causar problemas graves en otros países.
- Organizaciones críticas a nivel nacional o regional en sectores importantes.
- Entidades identificadas como críticas según se definen en la Directiva (UE) 2022/2557 relativa a la resiliencia de las entidades críticas.
- Entidades del sector público central o regional.
Además, cada Estado miembro puede decidir incluir escuelas con investigación crítica y administraciones locales. Además, afecta a entidades definidas como críticas por otra normativa europea sobre resiliencia.
Clasificación de entidades afectadas
La Directiva NIS2 clasifica a las organizaciones en dos grupos principales: entidades esenciales y entidades importantes, según la importancia del sector en el que operan, los servicios que prestan y su tamaño.
1. Entidades esenciales:
-
- La Administración pública central de cada Estado miembro.
- Grandes empresas en sectores críticos (enumerados en la Directiva NIS2).
- Proveedores de servicios de confianza en internet, como registros de dominios y DNS.
- Empresas identificadas como críticas por la Directiva (UE) 2022/2557 relativa a la resiliencia de las entidades críticas.
- Empresas que ya se consideraban operadores esenciales según la Directiva NIS anterior (NIS1).
2. Entidades importantes: Son aquellas que pertenecen a sectores críticos (enumerados en la Directiva NIS2), pero no cumplen con los criterios para ser consideradas esenciales.
Además, cada Estado miembro podrá agregar otras entidades a estas categorías si se cumplen ciertos requisitos (por ejemplo, si son el único proveedor de un servicio esencial en el Estado miembro o si un fallo en su servicio podría afectar gravemente la seguridad, el orden o la salud pública). Cada país debe crear una lista de estas entidades antes de abril de 2025 y actualizarla al menos cada dos años.
Sectores críticos
La Directiva NIS2 especifica una lista de sectores críticos, que incluyen:
- Energía: Empresas de electricidad, gas, petróleo e hidrógeno.
- Transporte: Aéreo, ferroviario, marítimo, fluvial y por carretera.
- Banca y Mercados financieros.
- Salud: Proveedores de servicios, laboratorios y fabricantes de medicamentos.
- Agua: Suministro de agua potable y tratamiento de aguas residuales.
- Infraestructura digital: Servicios de internet, nube y centros de datos.
- Administración pública central y regional.
- Espacio: Operadores de infraestructuras terrestres que apoyan servicios espaciales.
Además, la Directiva también abarca otros sectores considerados críticos, tales como:
- Servicios postales: Incluye proveedores de correos y mensajería.
- Gestión de residuos: Empresas que se encargan de la gestión de desechos.
- Industria química: Fabricación, producción y distribución de sustancias y mezclas químicas.
- Alimentos: Producción, transformación y distribución de alimentos a nivel industrial y mayorista.
- Fabricación: Incluye productos sanitarios, electrónicos, vehículos, maquinaria y otros equipos.
- Servicios digitales: Plataformas como mercados en línea, motores de búsqueda y redes sociales.
- Investigación: Organismos dedicados a la investigación.
Obligaciones derivadas de NIS2
La Directiva NIS2 exige que las entidades esenciales e importantes gestionen los riesgos de ciberseguridad en sus redes y sistemas de información, y reduzcan el impacto de posibles incidentes. Las medidas de seguridad deben ajustarse al nivel de riesgo, tamaño de la entidad y la probabilidad y gravedad de los incidentes, incluyendo sus efectos sociales y económicos.
El artículo 21 de la Directiva NIS2 enumera diez grupos de medidas de seguridad que las entidades deben implementar.
a) Políticas de seguridad de los sistemas de información y análisis de riesgos;
b) Gestión de incidentes;
c) Continuidad de las actividades, como la gestión de copias de seguridad y la recuperación en caso de catástrofe, y la gestión de crisis;
d) Seguridad de la cadena de suministro, incluidos los aspectos de seguridad relativos a las relaciones entre cada entidad y sus proveedores o prestadores de servicios directos;
e) Seguridad en la adquisición, el desarrollo y el mantenimiento de sistemas de redes y de información, incluida la gestión y divulgación de las vulnerabilidades;
f) Políticas y los procedimientos para evaluar la eficacia de las medidas para la gestión de riesgos de ciberseguridad;
g) Prácticas básicas de ciberhigiene y formación en ciberseguridad;
h) Políticas y procedimientos relativos a la utilización de criptografía y, en su caso, descifrado;
i) Seguridad de los recursos humanos, las políticas de control de acceso y la gestión de activos;
j) Uso de soluciones de autenticación multifactorial o de autenticación continua, comunicaciones de voz, vídeo y texto seguras, y sistemas seguros de comunicaciones de emergencia en la entidad, cuando proceda.
La Directiva NIS2 establece los objetivos de ciberseguridad que las empresas deben cumplir, pero no dicta los métodos exactos que deben utilizar para alcanzarlos. Esto permite que cada Estado miembro pueda desarrollar sus propias reglas de ciberseguridad, ajustándolas a sus condiciones y necesidades específicas.
En España, el Centro Criptológico Nacional (CCN-CERT) ha desarrollado el Perfil de Cumplimiento Específico NIS2 (PCE-NIS2). Este adapta el Esquema Nacional de Seguridad (ENS) a la nueva Directiva NIS2. Por otro lado, existe el ISA/IEC 62443, un conjunto de normas de seguridad creado para proteger los sistemas de control y automatización industrial. En concreto, el estándar IEC 62443-2-1 establece requisitos de seguridad para los propietarios de estos sistemas adaptados a la nueva Directiva NIS2.
Cómo prepararse para la NIS2
En el contexto español, para lograr una total conformidad con la Directiva NIS2, es fundamental seguir tanto el PCE-NIS2 como las directrices proporcionadas por el CCN-CERT. Sin embargo, en los entornos de tecnología operativa (OT), la adopción del estándar IEC 62443 también es un factor clave.
Con la entrada en vigor de la Directiva NIS2, las empresas y organizaciones deben comenzar a evaluar y adaptar sus políticas de seguridad cibernética para cumplir con las nuevas exigencias. Implementar las medidas necesarias no solo garantizará el cumplimiento legal, sino que también fortalecerá la resiliencia y seguridad de las infraestructuras críticas, minimizando los riesgos ante posibles ciberamenazas.
En Hera Corporate, entendemos los desafíos que supone adaptarse a normativas tan complejas como NIS2. Desde Hera Corporate, estamos preparados para asesorar a tu empresa en cada paso del proceso, desde la evaluación inicial hasta la implementación de las medidas de seguridad requeridas. Contáctanos para asegurarte de que tu organización cumpla con la normativa y esté preparada para enfrentar los desafíos del entorno digital actual.