Exploración de NIS2: cambios, requisitos y preparación

¿Qué es NIS2?

NIS2 es la segunda iteración de la directiva sobre redes y sistemas de información. Esta legislación histórica sobre ciberseguridad tiene por objeto establecer un mayor nivel de ciberresiliencia en las organizaciones de toda la Unión Europea (UE), en particular los operadores de infraestructuras críticas y servicios esenciales.

En particular, “NIS2” es el nombre correcto de la legislación. Sin embargo, es posible que vea referencias al “cumplimiento de NIS2” o a la “directiva NIS2” en documentos oficiales. Ambas opciones son aceptables, pero la primera es la que se publica en el Diario Oficial de la Unión Europea.

Al tratarse de una normativa de ámbito comunitario, cada estado miembro debe incorporar la directiva NIS a su respectiva legislación nacional antes del 17 de octubre de 2024, momento en el que todas las entidades cubiertas estarán legalmente obligadas a cumplir con sus requisitos de seguridad. Más sencillamente, eso significa que todas las naciones de la UE tendrán que hacer que el reglamento sea jurídicamente vinculante en sus propios países para poder aplicarlo.

A nivel nacional, NIS2 pretende impulsar la ciberseguridad global mediante lo siguiente:

1. Exigir que cada estado miembro de la UE esté preparado para una eventual ciberamenaza con un equipo de respuesta a incidentes de seguridad informática (CSIRT) y una autoridad nacional competente en materia de redes y sistemas de información.
2. Aumentar la colaboración entre los estados miembros creando un grupo de cooperación para intercambiar información. 
3. Fomentar una cultura de ciberseguridad en todos los sectores de infraestructuras críticas que dependen en gran medida de las tecnologías de la información y la comunicación (ICT).

En resumen, NIS2 está diseñada para garantizar que las entidades pertinentes de toda la UE estén preparadas para mitigar las amenazas con las medidas de seguridad, la información sobre amenazas y las mejores prácticas adecuadas.

¿Por qué es importante NIS2? 

NIS2 representa una notable mejora con respecto a la directiva NIS original. Históricamente, NIS 1 fue la primera legislación europea en materia de ciberseguridad y también pretendía mejorar la ciberresiliencia en toda la región. 

Aunque consiguió provocar un cambio de mentalidad y mejorar la protección de datos, tuvo que hacer frente a varios retos. Poco después de su aplicación, hubo distintos niveles de adopción en toda la Unión Europea. Algunas empresas se consideraban esenciales en algunos países, pero no en otros. Estas incoherencias dieron lugar a un panorama de cumplimiento confuso y fragmentado. 

Simultáneamente, el entorno de riesgo ha evolucionado a pasos agigantados desde 2016. A escala mundial, la ciberdelincuencia está creciendo tan rápidamente que, si se midiera como un país, tendría la tercera economía más grande del mundo. Los nuevos y cada vez más sofisticados vectores de ataque desafían a las organizaciones de formas nunca antes vistas, incluido el uso de inteligencia artificial (IA). 

Las estafas de phishing basadas en IA, por ejemplo, aprenden a engañar a los usuarios desprevenidos y roban sus credenciales de inicio de sesión con facilidad. Y, con la llegada de la computación cuántica, es solo cuestión de tiempo que los piratas informáticos puedan descifrar muchos de los algoritmos criptográficos que se utilizan hoy en día. 

Por supuesto, la geopolítica no hace sino aumentar la complejidad. La guerra de Rusia en Ucrania ha dado lugar a ciberataques de motivación política patrocinados por el estado. Según la Agencia de Ciberseguridad de la Unión Europea (ENISA), en 2022, la gran mayoría de esos ataques estaban dirigidos contra la administración pública y los Gobiernos, los proveedores de servicios digitales y la infraestructura crítica. 

Ante estos problemas, la Comisión Europea decidió revisar la directiva NIS. La segunda iteración no solo aborda la aplicación unificada, sino que también sube el listón de la ciberresiliencia al compás del cambiante panorama de las ciberamenazas.

Cambios clave: NIS2 frente a la directiva NIS original

La directiva NIS actualizada rectifica las deficiencias de su predecesora y aumenta significativamente su tamaño y alcance. En concreto, en comparación con NIS 1:

• Amplía el ámbito de aplicación para incluir más sectores.
• Impone sanciones más severas en caso de incumplimiento.
• Exige requisitos de ciberseguridad más estrictos.

Veamos con más detalle las principales diferencias entre la primera y la segunda directiva NIS.

Ampliación del ámbito

La directiva NIS original se aplicaba a los operadores de servicios esenciales (OES) y a los proveedores de servicios digitales (DSP). Ahora, esta distinción ya no existe. 

En su lugar, las entidades pertinentes se clasifican por tamaño y tipo. En general, NIS2 afecta a todas las organizaciones que prestan servicios esenciales o importantes a la Unión Europea. De este modo, el número de sectores cubiertos aumenta de siete a quince, con lo que se protegen más aspectos vitales de la sociedad de la UE.

Una entidad esencial se clasifica como una gran empresa que opera en un sector crítico, como las que se ven a continuación. En este caso, una gran entidad se define como aquella que tiene al menos 250 empleados, un volumen de negocios anual de al menos 50 millones de euros o un balance anual de al menos 43 millones de euros. Según NIS2, los servicios esenciales incluyen lo siguiente:

• Energía
• Transporte
• Finanzas
• Administración pública
• Salud
• Espacio
• Suministro de agua (potable y residual)
• Infraestructura digital

Por el contrario, una entidad importante es una empresa mediana que opera en sectores de alta criticidad que no entran en la categoría de servicios esenciales. Estas organizaciones suelen tener al menos 50 empleados, un volumen de negocios anual de al menos 10 millones de euros o un balance de 10 millones de euros. En el marco de NIS2, entre las entidades importantes figuran las siguientes:

• Servicios postales
• Gestión de residuos
• Productos químicos
• Investigación
• Alimentos
• Fabricación
• Proveedores digitales

Algunos de los sectores mencionados pueden parecer solaparse, como las infraestructuras digitales y los proveedores digitales. El primero se refiere a servicios en la nube, operadores de telecomunicaciones, centros de datos, servicios de confianza, etc. En resumen, engloba a cualquier entidad que preste un servicio digital clave para la columna vertebral de la sociedad.

Los proveedores digitales incluyen servicios más específicos, como motores de búsqueda, mercados en línea y redes sociales. Son parte integral de la forma en que las personas se comunican y realizan transacciones, pero pueden no tener implicaciones drásticas si un incidente cibernético los deja inoperativos.

Pero ¿qué ocurre con los operadores establecidos fuera de la UE? En virtud del Artículo 26 de NIS2, las entidades esenciales e importantes se consideran bajo la jurisdicción del estado miembro de la UE en el que prestan sus servicios. Si la entidad presta servicios en más de un estado miembro, deberá someterse a la jurisdicción de cada uno de ellos respectivamente.

Cumplimiento más estricto

NIS2 establece sanciones mucho más duras en caso de incumplimiento, entre las que se incluyen las siguientes:

1. Sanciones no monetarias

NIS2 faculta a las autoridades nacionales de supervisión para imponer gravámenes:

• Órdenes de cumplimiento
• Instrucciones vinculantes
• Auditorías de seguridad
• Órdenes de notificación de amenazas

2. Multas administrativas

Las multas exactas pueden variar en función del estado miembro, pero la directiva NIS establece una lista mínima de sanciones. 

• Para las entidades esenciales, el estado miembro debe prever una multa máxima de al menos 10 000 000 de euros o el 2 % de los ingresos anuales globales, la cantidad que sea más elevada.
• Si una entidad importante infringe la directiva, el estado miembro debe imponerle una multa máxima de al menos 7 000 000 de euros o el 1,4 % de los ingresos anuales globales, la cantidad que sea más elevada.

3. Sanciones penales a los órganos de gestión

En lugar de hacer recaer toda la presión del cumplimiento de NIS2 en los departamentos informáticos, la directiva incluye nuevas sanciones para responsabilizar personalmente a los órganos de administración superior por negligencia grave en caso de incidentes de ciberseguridad. Por ejemplo, una autoridad competente puede prohibir temporalmente a los ejecutivos ocupar puestos directivos. También puede ordenar a las organizaciones que revelen los incumplimientos y hagan una declaración pública en la que identifiquen a la persona o las personas responsables del incidente.

Requisitos más estrictos

Por último, NIS2 aumenta drásticamente sus requisitos de ciberseguridad para las entidades pertinentes. En líneas generales, obliga a informar con prontitud los incidentes, ampliar la gestión de riesgos y adoptar una serie de medidas mínimas de seguridad.

¿Qué significa todo eso? Profundicemos en los requisitos exactos de NIS2.

Requisitos de seguridad de NIS2

La nueva directiva refuerza la ciberresiliencia introduciendo obligaciones en cuatro ámbitos:

Gestión de riesgos

Las organizaciones deben adoptar medidas de gestión de riesgos de ciberseguridad para minimizar la probabilidad y el impacto de diversos vectores de ciberamenazas. Más concretamente, deben aplicar precauciones técnicas, operativas y organizativas para mitigar los riesgos que afectan a las redes y los sistemas de información, mejorando así la protección de los datos. Por ejemplo, procedimientos de gestión de incidentes, mayor seguridad en la cadena de suministro, sistemas de control de acceso y cifrado.

Gobierno corporativo

Los órganos de administración son responsables de supervisar y aprobar los protocolos de gestión de riesgos de ciberseguridad de sus respectivas organizaciones y deben garantizar que se apliquen eficazmente.

Según el Artículo 20, los estados miembros deben “velar por que los miembros de los órganos de administración de las entidades esenciales e importantes estén obligados a seguir una capacitación” y deben animarlos a ofrecer programas de capacitación similares a sus empleados de forma sistemática. El objetivo es que todas las personas de una organización determinada puedan identificar los riesgos y minimizar la exposición de la mejor manera posible.

Notificación de incidentes

Las entidades críticas deben establecer procedimientos para notificar rápidamente los incidentes de seguridad que afectan significativamente a la prestación de sus servicios o usuarios. NIS2 clasifica un incidente de seguridad “significativo” como aquel que:

• ha causado o puede causar graves trastornos operativos a un sector crítico;
• ha afectado o puede afectar a otras personas físicas o jurídicas causándoles un perjuicio considerable.

Las entidades deben enviar a la autoridad competente del estado miembro (incluido el CSIRT) una alerta temprana a más tardar 24 horas después de tener conocimiento del ciberincidente. También deben completar un informe integral a más tardar 72 horas después y un informe final un mes después de presentar el documento inicial.

Continuidad empresarial

La directiva NIS2 revisada pretende garantizar la continuidad de las actividades tras un ataque. Las entidades están obligadas a crear una estrategia creíble que detalle su respuesta y recuperación ante tales incidentes con el objetivo de minimizar rápidamente las interrupciones. En consecuencia, NIS2 hace hincapié en la adopción de soluciones de copia de seguridad en la nube.

Diez medidas básicas de ciberseguridad

El Artículo 21 identifica 10 medidas de seguridad básicas que las organizaciones deben aplicar para apoyar las cuatro áreas generales. Se basan en un “enfoque integral” que pretende mitigar los vectores de amenaza más probables. Estas medidas incluyen las siguientes:

1. Políticas de análisis de riesgos y seguridad de los sistemas de información
2. Planes de respuesta a incidentes para hacer frente a amenazas activas
3. Planes de continuidad de la actividad, como copias de seguridad, recuperación en caso de catástrofe y procedimientos de gestión de crisis
4. Seguridad de la cadena de suministro, incluidas las medidas que abordan la relación entre las empresas y sus proveedores directos o proveedores de servicios
5. Seguridad en la adquisición, el desarrollo y mantenimiento de redes y los sistemas de información, incluida la gestión y divulgación de vulnerabilidades.
6. Políticas y procedimientos para evaluar la eficacia de las medidas de gestión de riesgos de ciberseguridad
7. Capacitación para la concienciación, higiene y buenas prácticas en materia de ciberseguridad
8. Políticas sobre el uso de criptografía y cifrado
9. Procedimientos de control de acceso, especialmente para empleados con acceso a datos sensibles
10. Autenticación de factores múltiples, supervisión continua y sistemas de comunicación seguros

NIS2 frente a otras normativas de ciberseguridad

Además de NIS2, los operadores de la UE tendrán que cumplir otras muchas normas:

• Ley de Resiliencia Operativa Digital (DORA)
• Directiva sobre la capacidad de recuperación de las entidades críticas (CER)
• Ley de Ciberresiliencia (CRA)

¿Cómo se solapan estas legislaciones? Desglosemos los detalles:

NIS2 frente a DORA

Tanto la directiva NIS2 como la DORA son normas de ciberseguridad, pero sus objetivos son ligeramente diferentes. La DORA se centra específicamente en el sector financiero, mientras que NIS2 abarca una gama más amplia de organizaciones.

De conformidad con el Artículo 4, apartados (1) y (2), de la directiva NIS, se aplicarán las disposiciones de la DORA relativas a la gestión de riesgos de las ICT y la presentación de informes, las pruebas de resistencia operativa digital, el intercambio de información y el riesgo de terceros en lugar de lo establecido en NIS2. En otras palabras, las entidades financieras deben remitirse a la DORA para estos ámbitos y a NIS2 para el resto de los requisitos.

Resultado final: La DORA sustituye a NIS2 para las entidades financieras en lo que respecta a las medidas de seguridad mencionadas.

NIS2 frente a la directiva CER

La directiva CER se aplica a las entidades críticas, como los proveedores de energía y transporte, y orienta sus defensas contra los riesgos no relacionados con la cibernética. Aunque NIS 2 se centra en la ciberseguridad, puede haber solapamientos en cuanto a las entidades cubiertas. En tales casos, las organizaciones tendrán que garantizar el cumplimiento de ambas directivas, abordando tanto la resiliencia cibernética como la física.

Las entidades críticas deben cumplir con NIS2 cuando se trata de ciberseguridad y con la directiva CER para incidentes no cibernéticos.

NIS2 frente a CRA

La Ley de Ciberresiliencia es una propuesta legislativa centrada en la ciberseguridad de los productos de hardware y software con elementos digitales, como los dispositivos de Internet de las Cosas (IoT). Mientras que NIS2 se centra en mejorar la postura de seguridad de las propias empresas, la CRA exige a las empresas que den prioridad a la seguridad de los productos que fabrican o venden. 

En general, la CRA complementa a NIS2, pero no necesariamente la solapa o sustituye. Por lo tanto, las entidades pueden estar sujetas a ambas normativas.