Ya está aquí. Poco a poco Bruselas va extendiendo su mano en cuestiones de ciberseguridad y ahora llega al cenit con la aprobación de la Directiva NIS-2, que mejora la resiliencia y la capacidad de respuesta ante ciberincidentes en toda la Unión Europea. De esta forma, quedará armonizada la ciberseguridad europea con el NIS-2.

Hay que remontarse al 6 de julio de 2016, fecha en la que entró en vigor la Directiva 2016/1148 del Parlamento Europeo y del Consejo sobre las medidas que garantizaban un nivel común de seguridad de las redes y sistemas de la información. Esta instrucción fue conocida con el nombre de Directiva NIS, del inglés Network and Information Security.

Pero debido a la rapidez con que se desarrolla la técnica y el ingenio de los ciberdelincuentes, pronto se empezó a trabajar en una actualización y ampliación, que se la ha bautizado, con una increíble creatividad, como NIS-2. El Parlamento Europeo la aprobó por amplia mayoría en mayo de este año y aunque todavía falta que el Consejo Europeo (el gobierno de los países de la UE) la apruebe, se espera que entre en vigor en 2023. Por supuesto que la nueva normativa se integra totalmente en la amplia legislación que Bruselas ha ido creando sobre el tema, especialmente el Reglamento sobre la resiliencia operativa digital para el sector financiero (DORA) y la Directiva sobre la resiliencia de las entidades críticas (CER).

Armonizada la ciberseguridad europea con el NIS-2
Imagen de Pete Linforth en Pixabay

Un marco normativo común

Lo más llamativo de la Directiva es que pretende garantizar un nivel elevado de protección y mejorar la resiliencia en todos los Estados de la Unión. Y es que Bruselas reconoce que en muchos ámbitos no existe una cultura de aplicación de la ciberseguridad y la poca coordinación entre Estados lleva a una falta de respuestas comunes.
Destacamos los siguientes puntos de la NIS-2.

  • Será obligada la notificación en los diferentes sectores que cubre: energía, transporte, sanidad e infraestructura digital.
  • Creación de la Red Europea de Organización de Enlace de Crisis Cibernéticas (EU-CYCLONe) para mejorar la coordinación en la gestión de incidentes de ciberseguridad a gran escala.
  • Se amplían y aclaran algunos conceptos, como «entidades esenciales» o «sectores críticos» y se introducen los «sectores importantes», como por ejemplo gestión de residuos; sector aeroespacial; producción, transformación y distribución de alimentos; fabricantes y proveedores de servicios digitales; servicios postales de mensajería y la fabricación, producción y distribución de sustancias y mezclas químicas.
  • La legislación será de aplicación tanto para la administración como para las medianas y grandes empresas de ciertos sectores catalogados como «importantes» en el redactado de la norma. Estos ámbitos comprenden, por ejemplo, los servicios postales, la gestión de residuos, las industrias química, farmacéutica y alimentaria, la fabricación de maquinaria pesada, vehículos y aparatos digitales, etc.
  • Quedan excluídos del ámbito de aplicación de la Directiva la defensa o seguridad nacional, seguridad pública, policía, poder judicial o los parlamentos y bancos centrales.
  • Se va a promover la cooperación público-privada a través de los ppp (Public – Private – Partnerships). Para ello se van a desarrollar asociaciones público-privadas especializadas en ciberseguridad.
  • Se preocupará de la seguridad de las cadenas de suministro así como las relaciones con los proveedores. Para ello se va a permitir a las empresas exigir a sus proveedores el cumplimiento de la normativa en caso de ser operadores críticos.
  • La responsabilidad recaerá sobre la dirección de la empresa, ya que deberá preocuparse de cumplir las medidas de gestión de riesgos de ciberseguridad.
  • Se podrá sancionar. Las amonestaciones, instrucciones y multas podrían ser de hasta dos millones de euros e incluso llegar a suponer el 2% de los ingresos anuales de la organización.
  • Nacen nuevas obligaciones como pudieran ser el uso de cifrado de extremo a extremo. Se impone la privacidad por defecto y desde diseño, la respuesta a incidentes y gestión de crisis, la certificación de sus servicios, productos y/o sistemas bajo esquemas europeos de certificación de la ciberseguridad de acuerdo con normativa comunitaria, o el tratamiento y divulgación de vulnerabilidades.
  •  En muchos casos se deberán crear nuevos departamentos y/o procesos internos para cumplir los requisitos de la Directiva, así como la selección de perfiles con capacidades digitales para cumplir estos requisitos, todo ello colaborando con entidades esenciales e importantes.  

Podéis leer un extracto de la norma en esta web del Parlamento Europeo AQUÍ.
Y también podéis leer la Directiva al completo, en castellano, AQUÍ.

Como es habitual, los estados contarán con 21 meses para trasponer la nueva norma a su legislación nacional. Como podéis ver muchas empresas tendrán que adaptarse a esta normativa y además, en muchos casos, deberán contar también con certificaciones. Por ejemplo, en España será necesario que tengan el certificado del Esquema Nacional de Seguridad (ENS).

Es justo señalar que muchos de estos servicios para empresas ya los esta ofreciendo TECNOideas, como es el caso del CISO Externo o el de las certificaciones como el ENS.

Imagen principal: S. Hermann / F. Richter en Pixabay


Leave a comment