Directiva NIS2

La Directiva NIS2 es la legislación actualizada sobre ciberseguridad de la Unión Europea que pretende mejorar la postura general de ciberseguridad en toda la UE. La NIS2 se basa en la anterior Directiva NIS de 2016 ampliando su ámbito de aplicación, introduciendo requisitos más estrictos y reforzando las medidas de ejecución.

Aunque la Directiva NIS2 se centra en la UE, también se aplica a las empresas de fuera y no radicadas en la UE que prestan servicios esenciales a la economía europea. A su vez, todas las organizaciones afectadas necesitan comprender los requisitos de NIS2 para su cumplimiento.

La Directiva NIS2 es un conjunto de reglamentos y requisitos de ciberseguridad aplicables a una amplia gama de organizaciones y entidades de toda la Unión Europea, incluidos los operadores de servicios esenciales, los proveedores de servicios digitales, los proveedores de tecnologías críticas y las entidades de la administración pública.

Los objetivos clave de la Directiva NIS2 son:

• Establecer un conjunto estándar de requisitos de ciberseguridad en todos los Estados miembros de la UE.
• Ampliar el ámbito de aplicación de la directiva para cubrir más sectores y entidades.
• Introducir obligaciones de notificación de incidentes y medidas coercitivas más estrictas.
• Promover una mejor colaboración e intercambio de información entre los Estados miembros.
• Garantizar un alto nivel de resistencia en materia de ciberseguridad como norma en toda la UE.

La Directiva NIS2 sustituye a la anterior Directiva NIS y pretende subsanar las deficiencias y la fragmentación observadas en su aplicación en toda la UE. Introduce un enfoque más completo y armonizado de la ciberseguridad para proteger las infraestructuras críticas de la UE, los servicios digitales y a los ciudadanos de la creciente amenaza de incidentes y ataques cibernéticos.

El propósito principal de la Directiva NIS2 es establecer un nivel estandarizado de resiliencia de ciberseguridad en toda la UE. Los objetivos principales de la Directiva NIS2 son:

• Aumentar la postura de ciberseguridad en todos los proveedores de servicios esenciales: La directiva pretende reforzar las capacidades de ciberseguridad y la preparación para responder a incidentes de las organizaciones que prestan servicios esenciales a la UE.
• Optimizar la ciberresiliencia a través de unos requisitos y una aplicación más estrictos: La NIS2 introduce requisitos de seguridad más detallados y armonizados para las entidades incluidas en el ámbito de aplicación, así como medidas coercitivas y sanciones más estrictas en caso de incumplimiento.
• Mejorar la preparación general de la UE para hacer frente a los ciberataques: Al imponer prácticas de seguridad comunes, la notificación de incidentes y el intercambio de información, la directiva pretende mejorar la capacidad colectiva de la UE para prevenir, detectar y responder a las principales ciberamenazas.
• Subsanar las deficiencias de la anterior Directiva NIS: La Directiva NIS2 pretende remediar la fragmentación y las incoherencias observadas durante la aplicación de la Directiva NIS original en los distintos Estados miembros.

El objetivo global de la Directiva NIS2 es elevar la resistencia básica de la ciberseguridad en toda la UE, proteger las infraestructuras y los servicios críticos y permitir una respuesta más coordinada y eficaz a los incidentes cibernéticos que puedan perturbar la economía y la sociedad europeas.

Esta nueva normativa NIS2 introduce un amplio conjunto de requisitos y obligaciones de ciberseguridad que las organizaciones incluidas en el ámbito de aplicación deben cumplir antes de la fecha límite del 17 de octubre de 2024.

EVALUACIÓN Y GESTIÓN DE RIESGOS

Las organizaciones deben realizar evaluaciones periódicas de los riesgos de sus redes y sistemas de información e implantar las medidas de seguridad técnicas y organizativas adecuadas para gestionar dichos riesgos. Esto incluye:

• Políticas y procedimientos para el análisis de riesgos y la seguridad de los sistemas de información.
• Procesos de gestión y divulgación de vulnerabilidades.
• Uso eficaz de la criptografía y el cifrado.

RESPUESTA E INFORMES SOBRE INCIDENTES

La normativa NIS2 impone estrictos requisitos de notificación de incidentes. Las organizaciones deben contar con procedimientos sólidos de gestión de incidentes y de gestión de crisis, que incluyan:

• Detección, análisis y clasificación de incidentes.
• Notificación a las autoridades pertinentes dentro de los plazos establecidos.
• Medidas coordinadas de respuesta y recuperación.

CONTINUIDAD DE LAS ACTIVIDADES

Las entidades deben desarrollar y mantener planes de continuidad de la actividad y de recuperación en caso de catástrofe para garantizar la continuidad de los servicios esenciales en caso de incidente perturbador. Esto incluye:

• Procedimientos de gestión y restauración de copias de seguridad.
• Gestión de crisis y protocolos de comunicación.

SEGURIDAD DE LA CADENA DE SUMINISTRO

Las organizaciones son responsables de gestionar los riesgos de ciberseguridad en toda su cadena de suministro. Deben aplicar medidas de seguridad adecuadas para las relaciones con los proveedores directos y los proveedores de servicios.

GOBERNANZA Y RESPONSABILIDAD

La normativa europea NIS2 hace mayor hincapié en el papel de la dirección en la supervisión de la ciberseguridad. La dirección debe participar activamente en:

• Aprobar las políticas de seguridad y las estrategias de gestión de riesgos.
• Garantizar la eficacia de las medidas de ciberseguridad.
• Proporcionar formación y concienciación sobre ciberseguridad al personal.

CUMPLIMIENTO Y APLICACIÓN

El incumplimiento de los requisitos de la NIS2 puede acarrear sanciones significativas, incluidas multas de hasta 10 millones de euros o el 2% de la facturación anual global para las «entidades esenciales» y de hasta 7 millones de euros o el 1,4% de la facturación anual global para las entidades «importantes». Las autoridades también tienen potestad para imponer otras sanciones, como suspensiones temporales del servicio. Para lograr el cumplimiento de la NIS2, las organizaciones deben tomar las siguientes medidas:

• Evaluar si están clasificadas como entidad «esencial» o «importante» según la directiva.
• Llevar a cabo un análisis exhaustivo de las deficiencias para identificar las áreas que requieren mejoras.
• Desarrollar y aplicar las políticas, los procesos y los controles de seguridad necesarios.
• Garantizar una gobernanza eficaz, la rendición de cuentas y la concienciación en materia de ciberseguridad.
• Establecer sólidas capacidades de respuesta a incidentes y de continuidad del negocio.
• Evaluar y gestionar los riesgos de seguridad de la cadena de suministro.
• Estar preparadas para posibles auditorías, inspecciones y acciones coercitivas por parte de las autoridades.

Para más detalles sobre los requisitos de NIS2, lea la publicación en el BOE de la Directiva NIS2.

La Directiva NIS2 representa una evolución significativa con respecto a la Directiva NIS original, introducida en 2016. He aquí las principales diferencias entre ambas:

• Ampliación del ámbito de aplicación: La NIS1 sólo se aplicaba a los «operadores de servicios esenciales» (OES por sus siglas en inglés) y a los «proveedores de servicios digitales» (PSD por sus siglas en inglés) en sectores específicos. La NIS2 amplía el ámbito de aplicación para abarcar una gama mucho más amplia de entidades «esenciales» e «importantes» en 15 sectores diferentes, como la energía, el transporte, la banca, la sanidad y las infraestructuras digitales, entre otros.
• Requisitos más estrictos: La NIS2 introduce requisitos de seguridad más detallados y armonizados que las entidades incluidas en su ámbito de aplicación deben aplicar, como evaluaciones de riesgos, planes de respuesta a incidentes y medidas de seguridad de la cadena de suministro. La directiva también impone obligaciones más estrictas en materia de notificación de incidentes, con plazos más cortos para notificar a las autoridades.
• Aplicación más estricta: La NIS2 faculta a las autoridades nacionales para imponer sanciones mucho más duras en caso de incumplimiento, incluidas multas de hasta 10 millones de euros o el 2% de la facturación anual global. Las autoridades también tienen potestad para emitir instrucciones vinculantes y suspensiones temporales del servicio.
• Mejora de la colaboración: La NIS2 pretende mejorar la cooperación transfronteriza y el intercambio de información entre los Estados miembros mediante la creación de un nuevo Grupo de Cooperación. Con ello se pretende reforzar la preparación y la respuesta colectivas de la UE ante las principales ciberamenazas.

Las diferencias fundamentales son que la NIS2 tiene un ámbito de aplicación significativamente más amplio, unos requisitos de seguridad más estrictos, unos mecanismos de aplicación más fuertes y un mayor énfasis en la colaboración transfronteriza, todo ello para elevar el nivel básico de resistencia de la ciberseguridad en toda la UE.

La normativa de la EU NIS2 esboza las medidas de ciberseguridad obligatorias que las organizaciones incluidas en el ámbito de aplicación deben aplicar en virtud del artículo 21. Estos requisitos de ciberseguridad incluyen:

• Análisis de riesgos y políticas de seguridad de la información: Las organizaciones deben establecer políticas y procedimientos para llevar a cabo evaluaciones periódicas de riesgos, identificar vulnerabilidades e implementar controles de seguridad adecuados para gestionar los riesgos identificados.
• Respuesta y notificación de incidentes: Las entidades deben contar con sólidas capacidades de detección, análisis y respuesta a incidentes, incluyendo funciones y responsabilidades definidas, así como procesos para la notificación oportuna de incidentes a las autoridades pertinentes.
• Control de acceso y autenticación: Deben aplicarse medidas adecuadas de control de acceso, como la autenticación de múltiples factores, para evitar el acceso no autorizado a los sistemas y datos.
• Protección y encriptación de datos: Las organizaciones deben garantizar la confidencialidad, integridad y disponibilidad de los datos mediante el uso de la encriptación y otras técnicas de protección de datos.
• Gestión de vulnerabilidades: Las entidades deben contar con procesos de gestión y divulgación de vulnerabilidades, que incluyan evaluaciones periódicas de vulnerabilidades y la aplicación oportuna de parches a las vulnerabilidades conocidas.
• Copias de seguridad y continuidad de la actividad: Deben establecerse sólidas capacidades de gestión de copias de seguridad y recuperación en caso de catástrofes para garantizar la continuidad de los servicios esenciales en caso de incidente perturbador.
• Seguridad de la cadena de suministro: Las organizaciones son responsables de gestionar los riesgos de ciberseguridad en toda su cadena de suministro y deben aplicar medidas de seguridad adecuadas para las relaciones con los proveedores directos y los proveedores de servicios.
• Supervisión y registro de la seguridad: Deben existir mecanismos integrales de supervisión y registro de la seguridad para detectar, analizar y responder a los eventos de seguridad.
• Sensibilización y formación en ciberseguridad: Las entidades deben ofrecer programas regulares de formación sobre concienciación en materia de seguridad a su personal para garantizar que están equipados para identificar y responder a las ciberamenazas.
• Gobernanza y responsabilidad: La dirección de la organización debe supervisar activamente y aprobar las medidas de ciberseguridad de la entidad, las estrategias de gestión de riesgos y los planes de respuesta a incidentes.

Estas medidas representan los requisitos básicos de ciberseguridad que las organizaciones incluidas en el ámbito de aplicación deben implementar para cumplir con la Directiva NIS2.

La normativa NIS2 establece dos categorías principales de entidades sujetas a sus requisitos de ciberseguridad: entidades «esenciales» e «importantes».

ENTIDADES ESENCIALES

Las entidades esenciales son organizaciones que se consideran críticas para el funcionamiento de la economía y la sociedad europeas. Esta categoría incluye:

• Operadores en los sectores de la energía, el transporte, la banca, las infraestructuras de los mercados financieros, la sanidad, el agua potable, las aguas residuales y las infraestructuras digitales.
• Proveedores de redes y servicios públicos de comunicaciones electrónicas.
• Proveedores de servicios de confianza cualificados y registros de nombres de dominio de primer nivel (TLD).
• Entidades de la administración pública a nivel del gobierno central.
• Entidades designadas como «entidades esenciales» en virtud de la Directiva sobre la capacidad de recuperación de las entidades esenciales (CER) de la UE.

Las entidades esenciales están sujetas a requisitos de supervisión más estrictos y a multas potenciales por incumplimiento más elevadas que las entidades «importantes».

ENTIDADES IMPORTANTES

Aunque no tan críticas como las entidades esenciales, las entidades importantes son organizaciones que siguen desempeñando un papel importante en la economía y la sociedad europeas. Esta categoría incluye:

• Proveedores de servicios postales y de mensajería.
• Entidades de gestión de residuos.
• Fabricantes de productos químicos, alimentos, dispositivos médicos, equipos eléctricos y otros productos.
• Proveedores de servicios digitales como mercados en línea, motores de búsqueda y plataformas de medios sociales.
• Organizaciones de investigación (excluidas las instituciones educativas).

Las entidades importantes están sujetas a un enfoque de supervisión a posteriori más flexible, en el que las autoridades pueden tomar medidas si reciben pruebas de incumplimiento.

La distinción entre entidades esenciales e importantes se basa en factores como el tamaño de la entidad, el sector y el impacto potencial de una perturbación. Las organizaciones más grandes en sectores de alto riesgo tienen más probabilidades de ser clasificadas como esenciales, mientras que las entidades más pequeñas o menos críticas se consideran importantes.

Cabe destacar que la Directiva NIS2 también puede aplicarse a entidades no pertenecientes a la UE que presten servicios esenciales o importantes al mercado europeo, aunque no estén ubicadas físicamente en la UE.

La Directiva NIS2 establece un sólido marco de aplicación con importantes sanciones para las organizaciones que no cumplan sus requisitos. La directiva faculta a las autoridades nacionales para imponer sanciones tanto financieras como no financieras a las entidades esenciales e importantes que infrinjan las normas de ciberseguridad.

SANCIONES FINANCIERAS

La Directiva NIS2 establece directrices claras sobre las sanciones financieras máximas que pueden imponerse:

• Para las entidades esenciales, la multa máxima es la mayor de 10 millones de euros o el 2% del volumen de negocios anual global de la organización.
• Para las entidades importantes, la multa máxima es la más alta de 7 millones de euros o el 1,4% del volumen de negocios anual global de la organización.

Estas multas están diseñadas para ser lo suficientemente severas como para tener un efecto disuasorio e incentivar a las organizaciones a tomar las medidas necesarias para garantizar el cumplimiento.

SANCIONES NO FINANCIERAS

Además de las sanciones económicas, las autoridades nacionales también pueden imponer una serie de sanciones no monetarias a las entidades incumplidoras, entre las que se incluyen:

• Órdenes de cumplimiento que obliguen a la organización a subsanar la infracción.
• Instrucciones vinculantes sobre medidas de seguridad específicas que deben aplicarse.
• Auditorías de seguridad obligatorias.
• Órdenes de notificar a los clientes de la organización los riesgos potenciales.
• Prohibiciones temporales de prestar servicios o realizar actividades.

RESPONSABILIDAD PERSONAL PARA LOS DIRECTIVOS

La normativa de la UE NIS2 también introduce nuevas medidas para responsabilizar personalmente a los altos cargos de los fallos de ciberseguridad. Si se constata una negligencia grave tras un incidente cibernético, las autoridades podrán:

• Exigir a la organización que divulgue públicamente el incumplimiento.
• Emitir declaraciones públicas identificando a los individuos responsables.
• En el caso de entidades esenciales, imponer prohibiciones temporales para que determinados directivos ocupen cargos ejecutivos.

Estas disposiciones pretenden garantizar que la ciberseguridad se trate como una prioridad máxima en los niveles más altos de la organización y no sólo como una preocupación del departamento informático.

La severidad de las sanciones previstas en la NIS2 subraya el compromiso de la Unión Europea con impulsar las normas de ciberseguridad y la capacidad de recuperación en toda la región. Las organizaciones que no tomen las medidas necesarias para cumplir los requisitos de la directiva se arriesgan a sufrir importantes daños financieros y de reputación.

Hemos enumerado los pasos esenciales que deben dar las organizaciones para prepararse para el cumplimiento de la Directiva NIS2:

1. EVALUAR SU POSTURA ACTUAL EN MATERIA DE CIBERSEGURIDAD

Comience por realizar una evaluación exhaustiva de sus sistemas informáticos, controles de seguridad y prácticas de ciberseguridad actuales. Identifique cualquier laguna o punto débil con respecto a los requisitos de la NIS2.

2. INFORMAR E IMPLICAR A LOS DIRIGENTES

Asegúrese de que el equipo directivo de su organización comprende plenamente las implicaciones y los requisitos de la Directiva NIS2. Presente un argumento empresarial claro que exponga los riesgos del incumplimiento y los beneficios de las medidas proactivas de ciberseguridad.

3. ASIGNAR PRESUPUESTO Y RECURSOS SUFICIENTES

Trabaje con la dirección para conseguir el presupuesto y los recursos necesarios para implantar los controles y procesos de seguridad requeridos. Esto puede implicar inversiones en nuevas tecnologías, personal, formación y mantenimiento continuo.

4. DESARROLLAR UNA HOJA DE RUTA Y UN PLAN DE APLICACIÓN

Basándose en su evaluación de carencias, cree una hoja de ruta y un plan de implantación detallados para abordar los requisitos del NIS2. Dé prioridad a las áreas más críticas y que requieren más tiempo para asegurarse de que cumple el plazo de conformidad de octubre de 2024.

5. MEJORAR LAS POLÍTICAS Y PROCEDIMIENTOS DE SEGURIDAD

Revise y actualice las políticas de seguridad de su organización, los planes de respuesta a incidentes y otros procedimientos relevantes para alinearlos con los mandatos de la Directiva NIS2. Esto incluye medidas para la gestión de riesgos, el control de acceso, la protección de datos y la seguridad de la cadena de suministro.

6. IMPLEMENTAR CONTROLES TÉCNICOS DE SEGURIDAD

Implemente los controles técnicos de seguridad necesarios, como la autenticación de múltiples factores, el cifrado, la gestión de vulnerabilidades y las capacidades de supervisión y registro de la seguridad.

7. IMPARTIR FORMACIÓN EN CIBERSEGURIDAD

Asegúrese de que todos los empleados reciben formación periódica de concienciación sobre ciberseguridad para ayudarles a identificar y responder a posibles amenazas. Se trata de un requisito clave en virtud de la Directiva NIS2.

8. EVALUAR Y GESTIONAR LOS RIESGOS DE LA CADENA DE SUMINISTRO

Evalúe la postura de ciberseguridad de los proveedores y prestadores de servicios de su organización y aplique las medidas de seguridad adecuadas para mitigar los riesgos en toda la cadena de suministro.

9. PREPARARSE PARA LA NOTIFICACIÓN DE INCIDENTES Y LAS AUDITORÍAS

Establezca procedimientos sólidos de detección, análisis y notificación de incidentes para cumplir los estrictos requisitos de notificación de la Directiva NIS2. Además, esté preparado para posibles auditorías e inspecciones por parte de las autoridades reguladoras.

Al abordar de forma proactiva estas áreas clave, las organizaciones pueden colocarse en la mejor posición para lograr el cumplimiento de la NIS2 y mejorar su resistencia general de ciberseguridad antes de que la directiva entre en vigor.

Proofpoint ofrece una gama de soluciones de ciberseguridad que pueden ayudar a las organizaciones a cumplir los requisitos de la Directiva NIS2:

• Detección de amenazas y evaluación de riesgos: Proofpoint Targeted Attack Protection (ofrece funciones avanzadas de detección de amenazas y evaluación de riesgos, lo que proporciona a las organizaciones una visibilidad profunda de las amenazas que entran en sus entornos. Esto ayuda a cumplir el requisito NIS2 de recibir y analizar información sobre amenazas y vulnerabilidades.
• Seguridad del correo electrónico y respuesta a incidentes: Proofpoint Email Protection identifica y bloquea el fraude y el malware basados en el correo electrónico, evitando que estas amenazas lleguen a los usuarios finales. Esto se alinea con los requisitos de respuesta a incidentes y mitigación de la directiva NIS2. Proofpoint Email Encryption también permite una comunicación segura para la notificación de incidentes.
• Inteligencia y conciencia de amenazas: Proofpoint Threat Intelligence Service ofrece informes detallados sobre amenazas y acceso a expertos en seguridad. Proofpoint Phishing Simulation y Security Awareness Training capacita a los empleados para reconocer y responder a las ciberamenazas, tal y como exige NIS2.
• Protección de datos y cumplimiento: Las soluciones Proofpoint Email Data Loss Prevention y Data Discover pueden ayudar a las organizaciones a proteger los datos confidenciales y garantizar el cumplimiento de las normativas de protección de datos como el RGPD, que están estrechamente vinculadas a la directiva NIS2.

Al aprovechar las soluciones integrales de ciberseguridad y cumplimiento normativo de Proofpoint, las organizaciones pueden implementar con mayor eficacia las medidas técnicas y organizativas exigidas por la Directiva NIS2 y mejorar su ciberresiliencia general. Para obtener más información, póngase en contacto con Proofpoint.