En diciembre del año pasado la Unión Europea aprobó una directiva de ciberseguridad de gran importancia. Como sabemos lo difíciles de entender que pueden ser las normativas y legislaciones, vamos a echaros una mano en su comprensión, sus implicaciones y cómo se puede cumplir adecuadamente.
¿Qué es la directiva NIS-2?
El Diario Oficial de la Unión Europea publicó la Directiva (UE) 2022/2555 destinada a garantizar un elevado nivel común de ciberseguridad en todos los países de la unión. De esta manera, se intentan evitar las divergencias entre cada estado miembro en la aplicación de seguridad en sus redes y sistemas de información.
Ya hubo una NIS previa de 2016, pero esta normativa no era lo suficientemente específica y tampoco definía qué obligaciones aplican en algunos sectores sujetos a esta regulación de ciberseguridad. Aparte de esto, la tecnología ha evolucionado vertiginosamente desde entonces y había que actualizar la directiva consecuentemente.
La Directiva NIS-2 obliga a adoptar estrategias nacionales de ciberseguridad y a definir autoridades para la gestión de crisis de ciberseguridad, con puntos de contacto únicos y equipos de respuesta a ciber-incidentes. Además, los países deberán establecer medidas para gestionar brechas de ciberseguridad y notificar a las entidades competentes de estos riesgos. De hecho, fija normas y obligaciones relativas al intercambio de información sobre ciberseguridad, supervisión y ejecución.
¿A quién le afecta esta normativa?
En la anterior versión de NIS, cada país determinaba qué organismos o empresas cumplían los criterios para ser consideradas como operadores de servicios esenciales y, por tanto, que debieran cumplir esta normativa. Ahora, la nueva Directiva NIS 2 establece normas sobre el tamaño máximo de estas organizaciones, un mayor nivel de gestión de riesgos y criterios específicos para determinar qué entidades deben cumplir la normativa.
La NIS-2 añade entidades medianas y grandes de más sectores críticos para la economía y la sociedad, incluyendo proveedores de servicios públicos de comunicaciones electrónicas, servicios digitales, gestión de aguas residuales y residuos, fabricación de productos críticos, servicios postales y de mensajería, así como a las Administraciones Públicas. En este último caso, en España aplicaría a la Administración General del Estado, entidades de administraciones públicas de Comunidades Autónomas, incluso se podrá determinar su aplicación a entidades de la Administración Pública a nivel local.
La normativa es de aplicación obligatoria para toda entidad con más de 250 empleados y una facturación anual superior a 50 millones de euros y/o un balance anual superior a 43 millones de euros.
Entonces, ¿cómo y cuándo afecta a las empresas de estos sectores?
Estas entidades españolas de sectores críticos deberán tener en cuenta todas las medidas propuestas en esta directiva y las indicaciones que España implemente a nivel nacional.
Deberán encargarse de la gobernanza de sus datos, la gestión de los riesgos de ciberseguridad y el reporting al CSIRT o autoridad competente. Por ello, deberán adoptar medidas técnicas y organizativas para gestionar, prevenir y minimizar el impacto de posibles ciberincidentes. Lo que implicará que los gestores de estas medias reciban la formación adecuada para poder aplicar estas medidas.
La Directiva NIS 2 entró en vigor 20 días después de su publicación. Tras este paso, los Estados miembros deberán adoptar y publicar las medidas necesarias para cumplir lo establecido en esta normativa de la Directiva NIS-2, como tarde, el 17 de octubre de 2024.
Con este objetivo de fechas, las organizaciones consideradas dentro de los sectores críticos deberían planificar ya el establecimiento de buenas medidas de ciberseguridad para responder a la normativa. Por nuestra parte, estamos preparados y dispuestos a construir un país cada vez más ciberseguro con empresas que se analizan los riesgos a los que se enfrentan y se anticipan a los ataques que puedan sufrir.
