La Directiva (UE) 2022/2555, en vigor desde el 16 de enero de 2023 (“NIS 2”), establece nuevas medidas para impulsar un nivel común en materia de Ciberseguridad en toda la Unión Europea (“UE”) y sustituye la anterior Directiva (UE) 2016/1148 (“NIS 1”).
La NIS 2 tiene como objetivo actualizar el marco normativo comunitario de Ciberseguridad y dotar a las entidades que operan en la UE, de herramientas y mecanismos para gestionar adecuadamente los riesgos de Ciberseguridad. Para ello, (i) amplía el ámbito de aplicación, incorporando nuevos sectores; (ii) refuerza los requisitos de seguridad, incluyendo la seguridad de la cadena de suministro, y (iii) mejora el proceso de notificación de incidentes y de cooperación y coordinación entre los Estados Miembros (“EEMM”).
La NIS 2 se enmarca dentro de la denominada «Estrategia Digital Europea», en el contexto de revisión realizada por la Comisión Europea de la NIS 1 en el año 2020. La finalidad de la NIS 1 era fijar unos estándares comunes en materia de Ciberseguridad para todos los EEMM con el objetivo de garantizar la seguridad de las redes y de los sistemas de información en toda la UE. Sin embargo, desde la adopción de la NIS 1, los incidentes en Ciberseguridad y el coste global de la ciberdelincuencia han aumentado significativamente. Además, la implementación de la NIS 1 presentó dificultades debido a las divergencias en su transposición por parte de los EEMM, lo que comprometió la pretendida uniformidad de Ciberseguridad en la UE.
Ahora, la NIS 2 se aprueba con el objetivo de abordar las deficiencias de su predecesora y hacer frente a la aparición de nuevos riesgos y amenazas para la ciberseguridad en el conjunto de los EEMM teniendo en cuenta la rápida y vertiginosa revolución tecnológica.
Estas son las principales novedades que introduce la nueva normativa:
- Se amplía el ámbito de aplicación a entidades pequeñas y microempresas, que desempeñen un papel clave, como proveedores de redes públicas o servicios de comunicaciones electrónicas; prestadores de servicio de nombres de dominio, o administraciones locales y centros de enseñanza, si así lo determina el EM.
- Se aumenta el número de sectores, diferenciando un total de 18 sectores especificados en los Anexos I (Sectores de alta criticidad) y II (Otros sectores críticos), con subsectores para una mayor comprensión (transporte gas, agua potable, sector sanitario, laboratorios, gestión de servicios TIC B2B, etc.).
- Se establece una nueva clasificación de entidades sujetas, diferenciando dos categorías principales: (i) entidades esenciales y (ii) entidades importantes, según el grado de criticidad.
- En materia de gobernanza, se otorga una importancia significativa a los órganos de dirección de las entidades afectadas, ya que la NIS 2 les obliga a:
- (i) aprobar la adecuación de las medidas necesarias para la gestión de riesgos de Ciberseguridad;
- (ii) supervisar de forma periódica su implementación;
- y (iii) responder como responsables ante los incumplimientos de la normativa.
- Se detallan las medidas técnicas, operativas y organizativas mínimas, que deben adoptar las entidades afectadas para gestionar los riesgos de ciberseguridad y prevenir o minimizar las repercusiones de los ciberincidentes (políticas de seguridad, análisis de riesgos, procesos de gestión de incidentes, políticas de evaluación periódica o prácticas de ciberhigiene, entre otras). Estas medidas pueden ser compatibles con otras medidas no previstas en la NIS 2 de forma complementaria. Además, las entidades deben atender a diferentes aspectos para asegurar su proporcionalidad como, por ejemplo, el tipo de sector, el tamaño de la entidad, el grado de exposición al riesgo o la probabilidad de ocurrencia, así como la gravedad de la propia materialización del incidente y su coste. La NIS 2 pretende favorecer la adopción por parte de las entidades de una actitud proactiva, en lugar de reactiva, frente a los incidentes.
- Se establece la obligación de las entidades de evaluar la calidad general y resiliencia de los productos y servicios que contraten para reforzar la seguridad en toda la cadena de suministro, así como de implementar medidas de gestión de riesgos en sus procesos y prácticas de ciberseguridad de sus proveedores y prestadores de servicios, incluyendo sus procedimientos de desarrollo seguro (acuerdos contractuales, auditorías de seguridad y prácticas de desarrollo seguras).
- Se establece que las entidades sujetas a la NIS 2 notifiquen de forma inmediata a las autoridades pertinentes (al CSIRT o, en su defecto, a la autoridad competente) cualquier incidente con un “impacto significativo” (además de informar a los usuarios de un servicio esencial si se ven afectados).
- Se introduce un régimen de sanciones más severas para garantizar el cumplimiento de sus disposiciones, con multas administrativas de hasta 10 millones de euros o el 2% del volumen de negocios anual total para entidades esenciales, y de hasta 7 millones de euros o el 1,4% del volumen de negocios anual total para entidades importantes.
Las modificaciones introducidas por la NIS 2 representan una transformación en la seguridad y resiliencia de las entidades frente a las ciberamenazas.
Los EEMM disponen hasta el 17 de octubre de 2024 para transponer la NIS 2 a sus legislaciones nacionales. En España, esta implementación reemplazaría al actual Real Decreto-ley 12/2018 (y su reglamento de desarrollo, el Real Decreto 43/2021).
Con la fecha límite de transposición cada vez más cerca, es importante recordar que la NIS 2 no debe interpretarse de forma aislada, sino que se alinea con otras normativas europeas (el Reglamento de Ciberresiliencia, el Reglamento DORA, la Directiva CER o el Reglamento sobre la Ciberseguridad) que están dirigidas a elevar el nivel de resiliencia de la UE para hacer frente a amenazas crecientes y cada vez más complejas.
¿Necesitas que te ayudemos a revisar el nivel de cumplimiento de tu empresa en materia de Ciberseguridad?. ¡Hablemos!
