En un momento en que la digitalización se ha acelerado, pero también la creación de malware y proliferación de ciberataques, y donde cualquiera está en el punto de mira de los delincuentes (desde el ciudadano de a pie a las instituciones, pasando por las empresas), proliferan las regulaciones para garantizar precisamente la protección de los particulares y la economía europea. Este año, una de las grandes novedades en materia de normativa de ciberseguridad es NIS2. En este post explicamos qué es exactamente la directiva NIS2, dirigida a proteger los datos en los llamados “operadores de servicios esenciales”. Te contamos a qué empresas afecta, cuándo entra en vigor, qué obligaciones y sanciones contempla y qué papel tienen los proveedores de servicios gestionados (MSP) a la hora de ayudar a las empresas a cumplir con esta directiva.
Índice de temas
¿Qué es la directiva NIS2?
Fue en el año 2016 cuando la Unión Europea aprobó la directiva NIS, que en la legislación de nuestro país se vio reflejada en el Real Decreto Ley 12/2018.NIS estaba pensada para obligar a establecer medidas de ciberseguridad a las empresas de servicios esenciales.
En diciembre de 2022 se publicó la Directiva (UE) 2022/2555 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión. Conocida como la Directiva NIS 2, sigla de Network and Information Security. Y que venía a cubrir las carencias de la primera versión de NIS y sobre todo a ampliar el número de entidades a proteger. Su objetivo es llevar a otro nivel la ciberseguridad de las empresas que operan en sectores críticos y al sector público. La directiva exige medidas en un amplio espectro: desde la gestión de parches hasta la gestión de identidades y desde la seguridad de los endpoints hasta la seguridad de red.
¿Cuándo será efectiva la Directiva NIS2?
La Directiva NIS2 entró en vigor el 27 de diciembre de 2022, tras su publicación en el Diario Oficial de la Unión Europea. No obstante, los Estados tienen hasta el 17 de octubre de 2024 para realizar la trasponer la directiva y adoptar y publicar las medidas necesarias para darle cumplimiento.
De la misma forma, con fecha límite de 17 de enero de 2025, los Estados miembro deberán haber comunicado el régimen sancionador aplicable por incumplimiento y, para el 17 de abril de 2025 deberán haber elaborado una lista de entidades esenciales e importantes.
¿A qué empresas y entidades afecta NIS2?
La Directiva NIS 2 se aplica entidades públicas y privadas de un total de 18 sectores. Entre ellos hay 11 de “alta criticidad”, como energía, banca, infraestructuras de mercados financieros, sanidad, transporte, infraestructura digital, aguas potables, aguas residuales, administración pública, gestión de servicios TIC y espacio. Y otros 7 que son considerados como “críticos”: investigación, química, alimentación, servicios postales, proveedores digitales, fabricación y gestión de residuos.
NIS2, al contrario que la primera versión de la directiva, amplía el número de sectores que se ven afectados por esta normativa, y también el tipo de empresa, puesto que ahora entran en su campo de acción incluso las pymes o micropymes, siempre que sean críticas para el país.
Otro dato a tener en cuenta. La versión segunda de la directiva ha excluido del ámbito de aplicación la defensa o seguridad nacional, la seguridad pública, la policía, el poder judicial o los parlamentos y bancos centrales.
Dos tipos de entidades: esenciales e importantes
NIS2 clasifica a empresas y organismos en dos categorías:
–Las entidades esenciales. Son aquellas que pertenezcan a los sectores de alta criticidad, así como los prestadores cualificados de servicios de confianza y registros de nombres de dominio de primer nivel y proveedores de servicios de DNS, independientemente de su tamaño. También serán entidades de este tipo los proveedores de redes públicas de comunicaciones electrónicas o de servicios de comunicación electrónicos disponibles para el público que sean consideradas medianas empresas, entidades de la Administración pública, cualquier otra entidad perteneciente a otros sectores críticos que el Estado miembro identifique como entidad esencial.
–Las entidades importantes. Son todas aquellas entidades que pertenezcan a los sectores de alta criticidad o a otros sectores críticos que no pueden considerarse entidades esenciales.
Obligaciones de NIS2
La Directiva establece obligaciones de ciberseguridad para los Estados miembros, medidas para la gestión de riesgos de ciberseguridad y obligaciones de notificación para las entidades en su ámbito de aplicación, obligaciones relativas al intercambio de información sobre ciberseguridad, así como obligaciones de supervisión y ejecución para los Estados miembros.
El papel de los directivos
NIS2 contempla la obligación de que los directivos de las compañías aprueben y supervisen la puesta en práctica de medidas para prevenir y minimizar el impacto de los incidentes en caso de producirse.
Formación de las plantillas
NIS2 contempla otras obligaciones, como el uso de cifrado de extremo a extremo o la asistencia a formaciones a los miembros de dirección de las compañías en sectores esenciales, así como formaciones similares a sus empleados de forma periódica. Además, se impone la privacidad por defecto y desde el diseño.
Los proveedores también cuentan
Asimismo, las empresas de sectores críticos podrán exigir a sus proveedores el cumplimiento de la normativa.
Reporte de incidentes a las autoridades
En la misma línea que el GDPR (o RGPD, por su sigla en inglés) y que regula la protección de datos de los europeos desde 2018, la Directiva NIS2 obliga a los operadores de servicios esenciales y a los proveedores de servicios digitales que informen sobre ciertos tipos de incidentes graves a las autoridades relevantes en un plazo de 24 a 72 horas a más tardar. Asimismo, se recoge la obligación de notificar a sus CSIRT (Computer Security Incident Response Team) de referencia sin demora indebida, incidentes de seguridad que tengan un impacto significativo.
Sanciones que contempla NIS2
Los Estados miembro tendrán la posibilidad de imponer sanciones administrativas a las entidades que incumplan con los requisitos de la Directiva NIS 2. Las cuantías de referencia que establece el texto legal son la siguientes:
–Para las “entidades esenciales”, las sanciones podrán llegar a los 10 millones de euros o un máximo de un 2% del volumen de negocio anual total a nivel mundial del ejercicio financiero anterior.
-Para las “entidades importantes”, las sanciones podrán llegar a los siete millones de euros o a un máximo de un 1,4% del volumen de negocio anual total a nivel mundial del ejercicio financiero anterior.
Los Estados miembro tendrán como fecha límite el 17 de enero de 2025 para comunicar el régimen de sanciones aplicables por incumplimiento a la Comisión Europea.
El papel de los MPS con NIS2
Como explica Miguel Carrero, vicepresidente de partner ecosystem growth & strategic accounts de WatchGuard Technologies, Con NIS2, los proveedores de seguridad gestionada (MSP/MSSP) son los responsables últimos de la seguridad de sus clientes. Esto tiene consecuencias de gran alcance. Hacer que todo el entorno de seguridad sea gestionable para un gran número de clientes al mismo tiempo requiere recursos especializados.
“Con arreglo a las directrices NIS2, los proveedores de servicios móviles serán clasificados como proveedores de servicios digitales, ya que prestan servicios de seguridad a otras organizaciones. En consecuencia, tendrán que cumplir las amplias obligaciones de seguridad definidas en la directiva. A partir de ese momento, serán responsables en última instancia no sólo de su propio entorno de seguridad, sino también de la seguridad digital de sus clientes”.
Como recuerda Miguel Carrero, en caso de que las cosas vayan mal la directiva NIS2 exige que los MSP dispongan de una política y de recursos para proporcionar una respuesta eficaz ante incidentes y para la recuperación. Por tanto, deben ser capaces de intervenir rápida y adecuadamente con cada cliente. Preferiblemente sin tener que estar físicamente presentes ante el cliente.
