En un momento en que la digitalización se ha acelerado, pero también la creación de malware y proliferación de ciberataques, y donde cualquiera está en el punto de mira de los delincuentes (desde el ciudadano de a pie a las instituciones, pasando por las empresas), proliferan las regulaciones para garantizar precisamente la protección de los particulares y la economía europea. Este año, una de las grandes novedades en materia de normativa de ciberseguridad es la directiva NIS2, que debía estar adaptada a la legislación nacional a partir del 18 de octubre, un día después de la fecha límite que tenían los Estados para trasponerla. Pero que hoy sigue sin tener reflejo en el aparato legal nacional y que sigue sin tener régimen sancionador, con lo cual queda neutralizada por el momento.
En cualquier caso, conviene que el tejido empresarial esté al tanto de lo que supone NIS2. En este post explicamos qué es exactamente la directiva NIS2, dirigida a proteger los datos en los considerados “sectores críticos”. Te contamos a qué empresas afecta, cuándo entra en vigor, qué obligaciones y sanciones contempla y qué papel tienen los partners de tecnología y los proveedores de servicios gestionados (MSP) a la hora de ayudar a las empresas a cumplir con esta directiva.
Índice de temas
¿Qué es la directiva NIS2?
Fue en el año 2016 cuando la Unión Europea aprobó la directiva NIS, que en la legislación de nuestro país se vio reflejada en el Real Decreto Ley 12/2018.NIS estaba pensada para obligar a establecer medidas de ciberseguridad a las empresas de servicios esenciales.
En diciembre de 2022 se publicó la Directiva (UE) 2022/2555 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión. Conocida como la Directiva NIS2, sigla de Network and Information Security. Y que venía a cubrir las carencias de la primera versión de NIS y sobre todo a ampliar el número de entidades a proteger. Su objetivo es llevar a otro nivel la ciberseguridad de las empresas que operan en sectores críticos y al sector público. La directiva exige medidas en un amplio espectro: desde la gestión de parches hasta la gestión de identidades y desde la seguridad de los endpoints hasta la seguridad de red.
¿Cuándo es efectiva la Directiva NIS2 en España?
La Directiva NIS2 entró en vigor el 16 de enero de 2023, tras su publicación en el Diario Oficial de la Unión Europea. No obstante, los Estados han tenido hasta el 17 de octubre de 2024 para realizar la transposición de la directiva y adoptar y publicar las medidas necesarias para darle cumplimiento. Sin embargo, en España, y en la mayoría de países de la UE, todavía no hay transposición al marco legal local.
En teoría la directiva es aplicable, pero el no tener un desarrollo en la legislación nacional la deja un poco “en el limbo y con incertidumbre”, según Joaquín Muñoz, socio y director del departamento de privacidad y datos del despacho de abogados Bird & Bird. Además, al no tener un régimen sancionador, que es algo en manos también de las autoridades de cada país, “no se puede multar a nadie por incumplimiento”
De hecho, está previsto que, con fecha límite de 17 de enero de 2025, los Estados miembro comuniquen el régimen sancionador aplicable por incumplimiento de NIS2, y que para el 17 de abril de 2025 hayan elaborado una lista de entidades esenciales e importantes. Muñoz cree que lo correcto sería que antes del próximo 17 de enero España ya tuviera su NIS2 adaptado.
En todo caso, y a pesar de la incertidumbre legal que acompaña a este arranque de NIS2 en España, las empresas deben trabajar para cumplir con esta norma, según indica Joaquín Muñoz. “La ley española no se va a desviar mucho de la directiva. Y, por otra parte, la ciberseguridad debe ser una prioridad para la continuidad del negocio de las empresas”, dice el experto.
¿A qué empresas y entidades afecta NIS2?
La Directiva NIS2 se aplica entidades públicas y privadas de un total de 18 sectores. Entre ellos hay 11 de “alta criticidad”: energía, banca, infraestructuras de mercados financieros, sanidad, transporte, infraestructura digital, aguas potables, aguas residuales, administración pública, gestión de servicios TIC y espacio.
Y otros 7 que son considerados como “críticos”: investigación, química, alimentación, servicios postales, proveedores digitales, fabricación y gestión de residuos.
NIS2, al contrario que la primera versión de la directiva, amplía el número de sectores que se ven afectados por esta normativa, y también el tipo de empresa, puesto que ahora entran en su campo de acción incluso las pymes o micropymes, siempre que sean críticas para el país.
Otro dato a tener en cuenta. La versión segunda de la directiva ha excluido del ámbito de aplicación: la defensa o seguridad nacional, la seguridad pública, la policía, el poder judicial o los parlamentos y los bancos centrales.
Empresas afectadas (por tamaño y facturación)
Por tamaño de empresa, NIS2 se aplicará en general a medianas y grandes compañías, pero no a las más pequeñas. En concreto en el ámbito de la mediana empresa, serán aquellas entre 50 y 250 empleados, y entre 10 y 50 millones de euros de ingresos anuales. Mientras que, a nivel de gran cuenta, tendrán que cumplir con NIS2 las grandes organizaciones con más de 250 empleados y 50 millones de euros de ingresos anuales.
En España, y en términos generales, aproximadamente hay 25.000 empresas con plantillas superiores a 50 empleados, y buena parte de ellas estarán afectadas por NIS2.
Además, más allá del tamaño o la facturación, hay casos en que una pequeña empresa puede tener que cumplir con NIS2. Por ejemplo, si su actividad es considerada crítica o es el único proveedor de un servicio esencial en un Estado, entre otras excepciones.
Dos tipos de entidades: esenciales e importantes
NIS2 clasifica a empresas y organismos en dos categorías:
–Las entidades esenciales. Son aquellas que pertenezcan a los sectores de alta criticidad, así como los prestadores cualificados de servicios de confianza y registros de nombres de dominio de primer nivel y proveedores de servicios de DNS, independientemente de su tamaño. También serán entidades de este tipo los proveedores de redes públicas de comunicaciones electrónicas o de servicios de comunicación electrónicos disponibles para el público que sean consideradas medianas empresas, entidades de la Administración pública, cualquier otra entidad perteneciente a otros sectores críticos que el Estado miembro identifique como entidad esencial.
–Las entidades importantes. Son todas aquellas entidades que pertenezcan a los sectores de alta criticidad o a otros sectores críticos que no pueden considerarse entidades esenciales.
Obligaciones de la normativa europea NIS2
La Directiva establece obligaciones de ciberseguridad para los Estados miembros, medidas para la gestión de riesgos de ciberseguridad y obligaciones de notificación para las entidades en su ámbito de aplicación, obligaciones relativas al intercambio de información sobre ciberseguridad, así como obligaciones de supervisión y ejecución para los Estados miembros.
El papel de los directivos
NIS2 contempla la obligación de que los directivos de las compañías aprueben y supervisen la puesta en práctica de medidas para prevenir y minimizar el impacto de los incidentes en caso de producirse. Y es que esta normativa pretende que el comité de dirección tome conciencia de la necesidad de tomar medidas de protección de la información. Y responsabilizará con nombres propios a la alta dirección si se demuestra una negligencia grave tras un incidente cibernético
Formación de las plantillas
NIS2 contempla otras obligaciones, como el uso de cifrado de extremo a extremo o la asistencia a formaciones a los miembros de dirección de las compañías en sectores esenciales, así como formaciones similares a sus empleados de forma periódica. Además, se impone la privacidad por defecto y desde el diseño.
Los proveedores también cuentan
Asimismo, las empresas de sectores críticos podrán exigir a sus proveedores el cumplimiento de la normativa.
Reporte de incidentes a las autoridades
En la misma línea que el GDPR (o RGPD, por su sigla en inglés) y que regula la protección de datos de los europeos desde 2018, la Directiva NIS2 obliga a las entidades consideradas “esenciales e importantes” a que informen sobre ciertos tipos de incidentes graves a las autoridades relevantes en un plazo de 24 a 72 horas a más tardar. Asimismo, se recoge la obligación de notificar a sus CSIRT (Computer Security Incident Response Team) de referencia sin demora indebida, incidentes de seguridad que tengan un impacto significativo.
Sanciones que contempla NIS2
Los Estados miembro tendrán la posibilidad de imponer sanciones administrativas a las entidades que incumplan con los requisitos de la Directiva NIS 2. Las cuantías de referencia que establece el texto legal son la siguientes:
–Para las “entidades esenciales”, las sanciones podrán llegar a los 10 millones de euros o un máximo de un 2% del volumen de negocio anual total a nivel mundial del ejercicio financiero anterior.
-Para las “entidades importantes”, las sanciones podrán llegar a los siete millones de euros o a un máximo de un 1,4% del volumen de negocio anual total a nivel mundial del ejercicio financiero anterior.
Los Estados miembro tendrán como fecha límite el 17 de enero de 2025 para comunicar el régimen de sanciones aplicables por incumplimiento a la Comisión Europea.
¿Están preparadas las empresas para NIS2?
Los expertos señalan que las empresas que han hecho los deberes en ciberseguridad hasta la fecha y están cumpliendo con las exigencias en este ámbito, no tienen de qué preocuparse. Y con solo unos ajustes podrán dormir tranquilas a partir de la entrada en vigor de NIS2 en España. Es decir, una compañía que se ha preparado para cumplir con GDPR y que se ha certificado en la ISO 27001 (estándar internacional de seguridad de información) y en el Esquema Nacional de Seguridad, que establece requisitos de protección de la información en el sector público y en su red de proveedores, sólo tendrá que revisar su estrategia y ajustar algunos matices para pasar con nota NIS2.
El cualquier caso, el reto de las compañías, más allá de los sistemas de protección que apliquen, estará en cambiar el marco mental de sus directivos y empleados. Sobre todo del equipo de dirección, que con NIS2 deberá implicarse más en el ámbito de la ciberseguridad y que deberá asumir responsabilidades penales en caso claro de negligencia. En otras palabras, NIS2 pretende llevar la implicación de los CISO, los responsables de ciberseguridad, a otros ámbitos de la compañía.
Los nueve pasos que tendrán que seguir las empresas para cumplir con NIS2
1. Análisis de riesgos y conceptos de seguridad
El primer paso es realizar un inventario exhaustivo de la infraestructura de TI, identificando bienes, medidas de seguridad actuales y posibles vulnerabilidades. Se recomienda contratar consultores especializados para realizar un análisis de carencias y riesgos conforme a la norma ISO 27001 y desarrollar un plan integral de seguridad.
2. Gestión de incidentes de seguridad
Es crucial contar con un equipo que monitorice y responda a incidentes de seguridad. Las pruebas de penetración deben ser regulares para evaluar la preparación ante ataques. Se sugiere la contratación de Servicios de Seguridad Gestionados (MSS) desde un Centro de Operaciones de Seguridad (SOC) de alta seguridad. La ciberseguridad ya no es sólo el terreno de juego de los CIO o CISO. La junta directiva y el resto del equipo ejecutivo necesitan poder confiar en que su estructura de ciberseguridad es lo suficientemente resistente frente a los tipos de ciberataques que se dirigen contra ellos.
3. Mantenimiento de operaciones
Para minimizar el impacto de un ataque, las empresas deben encargar a expertos en seguridad TI que prueben y analicen su preparación en caso de crisis. En caso de que ataque tenga éxito, la infraestructura informática debe restablecerse lo antes posible. Esto se consigue mediante la gestión de copias de seguridad, la recuperación de desastres y la gestión de crisis. Además, la implementación de una arquitectura de Zero Trust puede ayudar a minimizar los daños.
4. Seguridad de la cadena de suministro
Con NIS2, las empresas también deben proteger de forma exhaustiva sus cadenas de suministro, tanto físicas como digitales, contra posibles atacantes. Esto significa que todas las cadenas de suministro que entran y salen de la empresa o instalación deben ser examinadas en busca de posibles vulnerabilidades y las áreas pertinentes deben ser aseguradas adicionalmente.
5. Seguridad en la adquisición, desarrollo y mantenimiento sistemas
Es fundamental asegurar los puntos de acceso a la infraestructura informática. También debe garantizarse que personas ajenas no puedan acceder sin autorización a las comunicaciones, añadir datos o sustraerlos. Utilizar firewalls de nueva generación para controlar el acceso al servidor, asegurar que las API utilizadas estén autenticadas, autorizadas y cifradas para evitar fugas de datos e instalar un sistema de Gestión de Identidades y Accesos (IAM) y Zero Trust cuando se trate de derechos de acceso.
6. Evaluación de la eficacia de las medidas
Existen diversas herramientas y plataformas de seguridad con capacidades de automatización como ML y AI que ayudan a proteger las redes y los sistemas. También es importante contratar a expertos en seguridad para seleccionar, implantar y mantener los sistemas necesarios para que NIS2 garantice una información continua y establecer sistemas de supervisión para detectar y responder a actividades inusuales en tiempo real.
7. Formación para el personal
Las medidas básicas de ciberhigiene y la contratación de expertos para que impartan formación y educación periódicas en seguridad informática a los equipos TI, contribuyen a que estén preparados para una emergencia y pueda tomar medidas preventivas con antelación.
8. Cifrado de datos
Es clave para proteger los datos almacenados, procesados y transmitidos. Las empresas deben implementar políticas de cifrado robustas y actualizar constantemente sus métodos para estar preparados ante nuevas amenazas.
9. Control de acceso y seguridad de activos
Las directrices de control de acceso y la gestión de activos deben protegerse adicionalmente. Al fin y al cabo, constituyen la base de una gestión eficaz de identidades y accesos. Las empresas deben encargar a expertos en seguridad de la información que aseguren los datos de identidad necesarios para que funcione un sistema de gestión de identidades y accesos (IAM).
El papel de los MPS con NIS2
Los fabricantes y partners de ciberseguridad tendrán una buena oportunidad de negocio alrededor de NIS2. Porque, entre otras cosas, la normativa les dará nuevos argumentos para convencer a los clientes de que las políticas de seguridad deben ser revisadas. Pero en especial, ayudará a los partners que han apostado por los servicios gestionados. Como explica Miguel Carrero, vicepresidente de partner ecosystem growth & strategic accounts de WatchGuard Technologies, con NIS2, los proveedores de seguridad gestionada (MSP/MSSP) serán los responsables últimos de la seguridad de sus clientes.
Como recuerda Miguel Carrero, en caso de que las cosas vayan mal, la directiva NIS2 exige que los MSP dispongan de una política y de recursos para proporcionar una respuesta eficaz ante incidentes y para la recuperación. Por tanto, deben ser capaces de intervenir rápida y adecuadamente con cada cliente. Preferiblemente sin tener que estar físicamente presentes ante el cliente.
“Con arreglo a las directrices NIS2, los proveedores de servicios móviles serán clasificados como proveedores de servicios digitales, ya que prestan servicios de seguridad a otras organizaciones. En consecuencia, tendrán que cumplir las amplias obligaciones de seguridad definidas en la directiva. A partir de ese momento, serán responsables en última instancia no sólo de su propio entorno de seguridad, sino también de la seguridad digital de sus clientes”, insiste el directivo.
