Tecnología para los negocios - Directiva europea NIS2 de Ciberseguridad: novedades


Directiva europea NIS2 de Ciberseguridad: novedades

El 27 de diciembre de 2022, se publicó la directiva europea NIS2. Es la 2022/2555 sobre las medidas para garantizar un elevado nivel común de ciberseguridad en la Unión Europea y deroga la SRI2. Por su parte, los Estados miembros tienen hasta el 17 de octubre de 2024 para su transposición.

La necesidad de esta norma viene motivada por dos hechos básicos. Por un lado, ya sabéis que, desde la pandemia, hemos experimentado una fuerte digitalización en todo nuestro tejido empresarial. Esto ha ido de la mano de la segunda razón: un aumento espectacular de los ciberataques, cada año, que no solo comprometen nuestros datos. En la Cámara, consideramos esencial que conozcáis esta norma.

La directiva NIS2

Son cuatro los objetivos fundamentales de esta norma:

  1. Armonizar las diferencias de la aplicación de la directiva NIS de 2016 entre los Estados miembros. Por esta razón, la nueva directiva define las condiciones mínimas que rigen el funcionamiento de un marco normativo coordinado.
  2. La puesta en marcha de mecanismos para la cooperación eficaz entre las autoridades competentes de cada Estado miembro.
  3. Ampliar la lista de sectores y subsectores sujetos a las obligaciones que marca esta directiva sobre ciberseguridad.
  4. El establecimiento de medidas de ejecución y de sanciones eficaces para garantizar el cumplimiento efectivo de esas obligaciones.

Importancia de la ciberseguridad en las empresas

De acuerdo con los datos de IBM Cost of a Data Breach Report 2023, el coste de los ciberataques alcanza una media de 4,45 millones de dólares anuales. Por tanto, el valor económico que suponen no los debéis despreciar. Imaginad, en vuestra pyme, lo que puede suponer que os dejen bloqueados todos vuestros sistemas informáticos. Probablemente, muchas no lo puedan asumir, salvo que tengan destinada una gran partida para gastos imprevistos.

Sois los responsables de la salvaguarda de los datos de carácter personal de vuestros clientes y proveedores. En consecuencia, tenéis la obligación de cumplir con el Reglamento General de Protección de Datos (RGPD) y con la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPGDD). Su cumplimiento implica que debéis hacer todo lo posible, tanto desde el punto de vista humano como técnico, para impedir esos accesos no autorizados.

Además de la ciberseguridad, las empresas deberán efectuar tres notificaciones a la AEPD con la NIS2

Desde un punto de vista positivo, tener un plan eficaz en ciberseguridad os supone incrementar la confianza de vuestra marca y la productividad. Esto es así porque al mantener la seguridad de las redes, no tenéis por qué paralizar vuestra actividad ante un evento.

Novedades importantes

Para ahondar en la ciberseguridad en las empresas en la actualidad, esta directiva propone importantes novedades en diferentes áreas. Las analizamos.

Alcance

Son dos los aspectos más relevantes que debéis tener en cuenta. Por un lado, eleva el número de sectores que quedan bajo el paraguas de esta regulación a 18. Y por otro, distingue entre entidades esenciales y entidades importantes.

En total, son 18 los sectores que obligatoriamente deben cumplir con lo que señala esta directiva. Los divide en dos grupos. Así, los sectores de alta criticidad, cuyos subsectores se detallan en el Anexo I de la directiva, son:

  • Energía.
  • Banca.
  • Mercados financieros.
  • Sanidad.
  • Transportes.
  • Infraestructura digital.
  • Aguas potables.
  • Aguas residuales.
  • Administraciones públicas, a excepción del poder judicial, los parlamentos y los bancos centrales.
  • Servicios TIC.
  • Sector aeroespacial y control aéreo.

El Anexo II reúne los subsectores del epígrafe Otros sectores críticos. En él se incluyen:

  • Investigación.
  • Química.
  • Alimentación.
  • Servicios postales.
  • Proveedores digitales.
  • Fabricación.
  • Gestión de residuos.

Respecto a las entidades esenciales, se refiere a las siguientes:

  • Todas las que pertenezcan a los sectores de alta criticidad.
  • Los prestadores cualificados de servicios de confianza y registros de nombres de dominio de primer nivel y proveedores de servicios de DNS. No especifica nada sobre su tamaño. Por tanto, debéis considerarlas todas con independencia de su volumen.
  • Los proveedores de redes públicas de comunicaciones electrónicas o de servicios electrónicos de comunicación electrónicos. Estos últimos solo si son medianas empresas.
  • Administraciones públicas.
  • Las que, perteneciendo a Otros sectores críticos, el Estado miembro identifique como entidad esencial.
  • Las entidades críticas identificadas por la Directiva 2022/2557 sobre resiliencia de entidades críticas o CER.
  • Los operadores de servicios esenciales de conformidad con la anterior Directiva NIS.

Las entidades importantes son las que corresponden a otros sectores críticos no calificados como esenciales.

Requisitos de seguridad

La directiva subraya la necesidad de que tengáis una visión holística o de conjunto para abarcar todas las obligaciones que impone. Sin embargo, nos parece crucial comenzar por el artículo 21. Entre otras medidas, debéis incluir:

  • Diseñar políticas de análisis de riesgos y seguridad de los sistemas de información.
  • Establecer un plan de gestión de incidentes.
  • Garantías para la continuidad de la actividad tras un evento, como la gestión de copias de seguridad o un plan para recuperación de desastres.
  • Sistemas de evaluación eficaz de las medidas de gestión de riesgos de ciberseguridad.
  • Ciberhigiene y formación en ciberseguridad.
  • Procedimientos criptográficos o de cifrado.
  • Seguridad de recursos humanos, políticas de control de acceso y gestión de activos.
  • Soluciones de autenticación multifactor o de autenticación continua.

Sanciones

Señala que las sanciones deberán ser efectivas, proporcionales y disuasorias. Además, se atenderá a las circunstancias particulares de cada caso. Como orientación para los Estados miembros, se refiere a las siguientes cuantías:

  • Entidades esenciales. La de mayor cuantía alcanza, como máximo, los 10.000.000 € o el 2 % de la facturación total anual del ejercicio anterior a nivel mundial.
  • Entidades importantes. La de mayor cuantía asciende, como máximo, a los 7.000.000 € y al 1,4 % del volumen total anual de negocio del ejercicio anterior a nivel global.

Plazos de notificación de incidentes

El flujo de notificación a la AEPD para los incidentes significativos se compone de:

  • Notificación inicial. En un plazo de 24 horas.
  • Notificación intermedia. Se trata de una actualización pasadas las 72 horas.
  • Notificación final. Es el informe recabado en un plazo máximo de un mes.

Supervisión

Para la supervisión del régimen sancionador adoptado, los Estados miembros deben remitirlo antes del 17 de enero de 2025, así como el listado de entidades esenciales e importantes.

En TicNegocios, estamos convencidos de que la directiva europea NIS2 nos afecta a todos de un modo u otro. Si sois de las entidades esenciales o importantes, el tiempo os apremia. Y si no lo sois, proporciona las indicaciones apropiadas para orientaros en ciberseguridad en vuestras empresas. ¡Asesoraos!