Directiva NIS2: qué es y cómo afecta a tu empresa

La Directiva NIS2 aparece en un contexto en el que las instituciones europeas están redoblando esfuerzos legislativos alrededor de lo digital.

En este caso, NIS 2 aborda los riesgos crecientes vinculados a las amenazas cibernéticas y sienta las bases de una legislación europea en materia de ciberseguridad.

No es la primera vez que la UE aborda este asunto. Así, la Directiva NIS2 aparece como revisión y ampliación de la Directiva NIS1 de 2016 (UE 2016/1148), que ha terminado por quedarse obsoleta en un momento en el que el impacto de los incidentes de ciberseguridad ha alcanzado cifras récord. La Directiva NIS1, fue la primera normativa de la Unión Europea sobre ciberseguridad y que se centraba en asegurar un marco común de seguridad para garantizar un nivel mínimo de seguridad de las redes y sistemas de información en toda la Unión Europea. Un panorama que esta legislación trata de abordar de forma integral. Su objetivo: fomentar los más altos niveles de ciberseguridad frente a las amenazas emergentes en el ámbito europeo. 

En vigor desde enero de 2023, es en octubre de 2024 cuando llegan las trasposiciones de la Directiva NIS2 a cada legislación nacional, volviéndola por tanto aplicable. En este contexto, analizamos qué es exactamente la NIS2 directiva, a qué organizaciones afecta y qué tipo de requisitos establece.

¿Qué es la Directiva NIS2?

La Directiva NIS2 es una ley de alcance europeo que establece una serie de obligaciones en materia de ciberseguridad en vistas a impulsar un nivel común de ciberseguridad adecuado. 

Su nombre completo es Directiva (UE) 2022/2555 del parlamento europeo y del consejo relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión.

Esta legislación fomenta tres ámbitos de intervención fundamentales:

• La exigencia de altos niveles de seguridad a los Estados miembros con medidas como la creación de equipos de respuesta a incidentes de seguridad informática (CSIRT) y la autoridad nacional competente de redes y sistemas de información (NIS).
• Creación de un Grupo de Cooperación para fomentar la colaboración entre estados miembros.
• Impulso de los niveles de ciberseguridad al establecer obligaciones en torno a la ciberseguridad para empresas públicas y privadas en sectores considerados “esenciales” e “importantes” (como detallamos más abajo en este artículo). 

Frente a la anterior Directiva NIS1 de 2016, algunas de las medidas clave introducidas por la Directiva NIS2 incluyen un ámbito de aplicación mayor; modificaciones en las categorías creadas por la NIS1; requisitos de seguridad ampliados; mayor precisión en la descripción de la notificación de incidentes; y un enfoque más intenso en la cadena de suministro y proveedores de organizaciones críticas, introduciendo condiciones más exigentes respecto a la gestión de riesgos en este ámbito.

En definitiva, se trata de una iniciativa legislativa que busca proteger la infraestructura digital en los Estados miembros y armonizar los requisitos de ciberseguridad a nivel europeo. Para ello, y acompañando a otras iniciativas recientes como la ley de ciberresiliencia o el Reglamento DORA, establece una serie de requisitos destinados a elevar los esfuerzos de ciberseguridad en un panorama altamente volátil y amenazante como el de la actualidad. 

¿Cómo afecta a las empresas la Directiva NIS 2?

Qué empresas deben cumplir la Directiva NIS2

En el texto, se describen las empresas a las que va dirigida la ley como “todas las entidades públicas y privadas del mercado interior que cumplan funciones importantes para la economía y la sociedad en su conjunto".

De forma más esquemática, el perfil de las empresas afectadas por la Directiva NIS 2 es el siguiente:

• Empresas medianas y grandes, públicas o privadas.
• Consideradas de alta criticidad y como pertenecientes a sectores críticos (recogida y detallada esta clasificación en los anexos I y II).
• Llevan a cabo sus actividades en la UE o prestan sus servicios en la UE.

Más específicamente, la ley opta por dividir estas empresas en dos grupos:

• Entidades Esenciales, sujetas a requisitos más estrictos, siendo ejemplos las dedicadas al transporte, energía, banca, salud o agua.
• Entidades Importantes, siendo ejemplos servicios postales y de mensajería, gestión de residuos, producción, procesamiento y distribución de alimentos, proveedores digitales. 

Cabe resaltar que las obligaciones varían según el tamaño y el tipo de empresa, destacar que existe una distinción importante entre las “entidades esenciales” y las “entidades importantes” en términos de requisitos de supervisión y cumplimiento. 

Medidas de ciberseguridad requeridas por NIS2

Respecto a las medidas a tomar, las empresas identificadas en los referidos anexos I y II están obligadas a adoptar “medidas para la gestión de riesgos de ciberseguridad” además de estar sujetas a “obligaciones de notificación” ante incidentes de ciberseguridad. 

Ámbitos de acción

Las medidas que las empresas deben tomar para el cumplimiento se describen en el Capítulo IV del texto legislativo. En el texto, se explicita que las entidades deberán implementar "medidas técnicas y organizativas apropiadas y proporcionadas”, y recoge las siguientes áreas de actuación, que parafraseamos:

• Políticas de seguridad de los sistemas de información y análisis de riesgos

• Gestión de incidentes, tales como identificación de amenazas y vulnerabilidades; respuesta ante incidentes de seguridad mediante protocolos predefinidos; recuperación de servicios y datos afectados para minimizar el impacto; y el análisis post-mortem para aprender de los incidentes y mejorar las defensas futuras.
• Continuidad de las actividades, como la gestión de copias de seguridad y la recuperación en caso de catástrofe, y la gestión de crisis
• Seguridad de la cadena de suministro 
• Seguridad en la adquisición, el desarrollo y el mantenimiento de sistemas de redes y de información
• Políticas y los procedimientos para evaluar la eficacia de las medidas para la gestión de riesgos de ciberseguridad
• Prácticas básicas de ciberhigiene y formación en ciberseguridad
• Políticas y procedimientos relativos a la utilización de criptografía y cifrado
• Seguridad de los recursos humanos, las políticas de control de acceso y la gestión de activos
• Soluciones de autenticación multifactorial o de autenticación continua.

Se trata de un listado de mínimos respecto a las diferentes esferas de acción que las empresas deben abordar. A su vez, el texto reconoce la necesidad de que cada entidad establezca las medidas de forma proporcional a los riesgos específicos a los que se expone, al tamaño de la organización y al impacto y gravedad de los posibles incidentes.

Obligaciones de notificación

La Directiva NIS2 se esfuerza por delinear en detalle las obligaciones de notificación de incidentes de ciberseguridad en el artículo 23. La obligación se activa ante cualquier “incidente significativo”, es decir, un incidente que, según aparece en el texto:

• Ha causado o puede causar graves perturbaciones operativas de los servicios o pérdidas económicas para la entidad afectada.
• Ha afectado o puede afectar a otras personas físicas o jurídicas al causar perjuicios materiales o inmateriales considerables.

En estos casos, las entidades están obligadas a notificar el incidente al CSIRT o a la autoridad competente (por definir en la transposición de la ley en octubre de 2024 según el Estado miembro), con las siguientes características, que parafraseamos del texto:

1. Una alerta temprana sin demora indebida y, en cualquier caso, en el plazo de veinticuatro horas desde que se haya tenido constancia del incidente significativo.
2. Notificación del incidente con actualización de la información de la primera alerta sin demora indebida y, en cualquier caso, en el plazo de setenta y dos horas desde que se haya tenido constancia del incidente significativo; se expondrá una evaluación inicial del incidente significativo, incluyendo su gravedad e impacto, así como indicadores de compromiso.
3. Un informe intermedio con las actualizaciones pertinentes a instancias de un CSIRT o de la autoridad competente.
4. Un informe final, a más tardar un mes después de presentar la notificación del incidente.
5. En el caso de que el incidente siga en curso en el momento de la presentación del informe final, los Estados miembros velarán por que las entidades afectadas presenten un informe de situación en ese momento y un informe final en el plazo de un mes a partir de que hayan gestionado el incidente.

El papel de los órganos de dirección

El texto pone a los órganos de dirección como responsables de garantizar su cumplimiento. Más específicamente, se establece que los órganos de dirección de las entidades deben tomar un papel activo en el cumplimiento, y quedan encargados de acciones clave como aprobar la adecuación de las medidas, supervisar su aplicación y adquirir formación suficiente para ser capaces de evaluar si sus prácticas de gestión de riesgos son adecuadas. 

Sanciones por incumplimiento

La Directiva NIS2 establece una serie de acciones orientadas a velar por el cumplimiento de los requisitos de seguridad. 

Las medidas de supervisión y ejecución relativas a entidades esenciales aparecen en el artículo 32, mientras que las relativas a entidades importantes se exponen en el artículo 33. 

Las medidas son más estrictas en el primer caso, cuando las entidades podrán ser sometidas a supervisión tanto a priori como a posteriori, de forma periódica y de forma específica. En el caso de las entidades importantes, la supervisión será a posteriori y específica. La suspensión temporal de las actividades podría aplicarse en casos de riesgos severos para la seguridad nacional o de la Unión Europea.

Siguiendo estos diferentes grados de acuerdo a ambos tipos de entidades (explicitados en el texto legislativo), entre las acciones de supervisión destacan:

• Inspecciones in situ
• Auditorías de seguridad 
• Análisis de seguridad
• Solicitudes de información necesaria para evaluar las medidas de gestión de riesgos adoptadas.
• Solicitudes de acceso a datos e información para supervisión.
• Solicitudes de pruebas de la aplicación de las políticas de ciberseguridad, como, por ejemplo, los resultados de las auditorías.

El texto detalla a su vez un listado de las sanciones previstas, que van desde el apercibimiento o la adopción de instrucciones específicas, hasta ordenar hacer público el incumplimiento, la imposición de multas administrativas, la suspensión y las prohibiciones temporales.

Entre las sanciones económicas, se prevén:

• Para entidades esenciales, un máximo de 10.000.000 euros o hasta el 2% del volumen de negocios total anual a nivel mundial (la de mayor cuantía).
• Para entidades importantes, un máximo de 7.000.000 euros o el 1,4% del volumen de negocios total anual a nivel mundial (la de mayor cuantía).

Es relevante mencionar cómo estas sanciones buscan no solo penalizar a las entidades, sino también fomentar una cultura de cumplimiento.

¿Cuándo entra en vigor la Directiva NIS2?

La Directiva NIS2 quedó aprobada formalmente en noviembre de 2022; su publicación en el Diario Oficial de la UE (DOUE) tuvo lugar en diciembre de 2022; y entró en vigor el 16 de enero de 2023. 

No obstante, a efectos de cumplimiento, es preciso esperar a la transposición de la Directiva NIS2 a las legislaciones de cada Estado miembro. El plazo para este trámite finaliza el 17 de octubre de 2024. Más allá de esta fecha, cada Estado miembro deberá comunicar el régimen sancionador aplicable con límite en el 17 de enero de 2025; mientras que para el 17 de abril de 2025 como límite se espera la elaboración de la lista de entidades esenciales e importantes por parte de los Estados miembros.

S2 Grupo: tus aliados para el cumplimiento de la Directiva NIS2

A medida que se acerca la fecha en que el cumplimiento de la Directiva NIS2 será obligatorio, se impone la responsabilidad de las entidades en acatar las medidas que esta ley dispone.

A este respecto, el texto pone de lado de las organizaciones el deber de llevar sus capacidades de ciberseguridad al nivel adecuado para protegerse. Así, aunque el texto detalla las áreas a tratar, el foco se pone en el compromiso de las entidades con su propia protección, teniendo en cuenta todos los riesgos, tanto digitales como físicos, que podrían activar un incidente de ciberseguridad. 

Esto se refleja, además, en el papel predominante que el texto otorga a los órganos de dirección, encargados de aplicar de forma proporcional las medidas en función de los riesgos específicos a los que se expone la entidad y su impacto. un punto clave por parte de estos órganos de dirección es la necesidad de mantenerse actualizados sobre los cambios legislativos y los riesgos emergentes.

Auditorías, inspecciones, solicitudes sobre datos, documentos e información… La Directiva NIS2 supone un esfuerzo no solo en la implementación de medidas de ciberseguridad, sino también a nivel de documentación y registro. Todo ello acompañado de un cálculo de riesgos certero, basado en una formación, conocimientos y habilidades actualizados que capaciten tanto a los órganos de dirección como a los trabajadores para estar en posición de blindar a la organización ante los peligros emergentes.

En este contexto, resulta imprescindible contar con aliados de ciberseguridad que aborden las necesidades de la Directiva NIS2 de forma integral y eficaz. Es aquí donde entra en juego la labor de S2 Grupo. 

Como empresa líder a la vanguardia en ciberseguridad y como parte de nuestro catálogo de soluciones de ciberseguridad, ofrecemos la solución Gobierno, Riesgo y Cumplimiento, una iniciativa destinada a acompañar a las organizaciones en lograr la conformidad con legislación en materia de ciberseguridad, incluyendo la Directiva NIS2.

¿Quieres preparar a tu organización para el cumplimiento de la Directiva NIS2? Ponte en contacto con nosotros y habla con nuestro equipo sobre cómo podemos ayudarte.