Aspectos esenciales de la Directiva NIS 2
El principal objetivo de la Directiva NIS 2 es el de establecer medidas para lograr un alto nivel común de ciberseguridad en toda la Unión Europea, con el propósito de mejorar el funcionamiento del mercado interior.
Para cumplir con este objetivo, la Directiva aborda diversas áreas, incluyendo la adopción de estrategias nacionales de ciberseguridad por parte de los Estados miembros, la designación de autoridades competentes, la creación de puntos de contacto únicos y equipos de respuesta a incidentes de seguridad informática (CSIRT).
Asimismo, establece un refuerzo para las medidas de seguridad y gestión de las mismas, notificaciones obligatorias para entidades específicas, normas sobre el intercambio de información en ciberseguridad, y obligaciones de supervisión y ejecución para los Estados miembros.
La Directiva NIS 2 aplica, de forma general y sin entrar en las excepciones concretas establecidas en la propia Directiva, a las entidades públicas o privadas que pertenezcan a alguno de los sectores de alta criticidad u otros sectores críticos y también en aquellas que aunque no encajen en los sectores mencionados, tengan más de 250 trabajadores y su volumen anual exceda de 50 millones de euros.
Directiva NIS 2 sobre los sectores críticos
En cuanto a los sectores críticos, la Directiva NIS 2 señala los siguientes:
- Energía (electricidad, sistemas de, sistemas urbanos de calefacción y de refrigeración, crudo, gas, hidrógeno)
- Transporte (aéreo, ferrocarril, marítimo y fluvial, por carretera)
- Banca: Entidades de crédito.
- Infraestructuras de los mercados financieros: Gestores de centros de negociación y entidades de contrapartida central (ECC).
- Sector sanitario: Prestadores de asistencia sanitaria, laboratorios de referencia de la UE, entidades de investigación y desarrollo de medicamentos, entidades que fabrican productos farmacéuticos y sanitarios.
- Agua potable: Suministradores y distribuidores de aguas destinadas al consumo humano.
- Aguas residuales: Empresas dedicadas a la recogida, eliminación o tratamiento de aguas residuales urbanas, domésticas o industriales.
- Infraestructura digital: Proveedores de puntos de intercambio de internet, servicios de DNS, registros de nombres de dominio, servicios de computación en nube, servicios de centro de datos, redes de distribución de contenidos, prestadores de servicios de confianza, y proveedores de servicios de comunicaciones electrónicas y redes públicas de comunicaciones electrónicas.
- Gestión de servicios de TIC (de empresa a empresa): Proveedores de servicios gestionados y proveedores de servicios de seguridad gestionados.
- Entidades de la Administración pública con exclusión del poder judicial, los parlamentos y los bancos centrales.
- Espacio: Operadores de infraestructuras terrestres, cuya propiedad, gestión y explotación descansa en los
- Estados miembros o en entidades privadas, que apoyan la prestación de servicios espaciales. Esta categoría excluye a los proveedores de redes públicas de comunicaciones electrónicas.
Además de los anteriormente mencionados, hay otros sectores que la Directiva califica como críticos:
- Servicios postales y de mensajería: Proveedores de servicios postales.
- Gestión de residuos: Empresas que realizan la gestión de residuos.
- Fabricación, producción y distribución de sustancias y mezclas químicas.
- Producción, transformación y distribución de alimentos: Empresas alimentarias, que se dediquen a la distribución al por mayor y a la producción y transformación industriales.
- Fabricación de productos sanitarios, informáticos, electrónicos, etc)
- Proveedores de servicios digitales: de mercados en línea, motores de búsqueda, plataformas de servicios de redes sociales)
- Investigación: Organismos de investigación.
Por otro lado, parece importante señalar que la Directiva NIS 2, además, aplica disposiciones del Reglamento DORA para aquellas empresas que entren en su ámbito de aplicación, centrándose en la gestión de riesgos y respuesta a incidentes en tecnologías de la información y comunicaciones (TIC).
A este respecto, distingue entre dos categorías de entidades:
- Entidades esenciales: Sectores críticos y proveedores clave.
- Entidades importantes: Sectores críticos no esenciales.
De esta forma, la Directiva NIS2 elimina las categorías anteriores (OSE y PSD), adaptándose a la evolución tecnológica y considerando diversas entidades, desde grandes redes hasta pequeñas empresas críticas.
Qué implica la Directiva NIS 2
En cuanto a las Implicaciones de la Directiva NIS 2, la implementación de la Directiva NIS 2 conlleva diversas implicaciones para las entidades esenciales e importantes en términos de ciberseguridad.
Estas repercusiones abarcan desde aspectos de gobernanza hasta medidas específicas para la gestión de riesgos y mecanismos de intercambio de información. A continuación, se exploran las principales áreas de impacto:
Gobernanza reforzada
- Los Órganos de Dirección adquieren un papel crucial, aprobando medidas y supervisando su implementación.
- La formación periódica de los líderes y empleados garantiza una comprensión continua de los riesgos de ciberseguridad.
Medidas personalizadas de ciberseguridad
- Adaptación de medidas según el tamaño, exposición y probabilidad de ocurrencia de incidentes.
- Inclusión de áreas clave como políticas de seguridad, gestión de incidentes y seguridad en la cadena de suministros.
- Mecanismos de Intercambio de Información:
- Establecimiento de acuerdos seguros facilitados por los Estados miembro para prevenir, detectar y responder a incidentes.
- Notificación obligatoria de participación o retirada, promoviendo la transparencia y coordinación.
- Participación voluntaria de entidades fuera del ámbito directo de la Directiva, fomentando la colaboración.
Recordemos que esta Directiva entró en vigor el pasado 16 de enero de 2024 y marca un cambio significativo en el enfoque hacia la ciberseguridad, requiriendo una mayor diligencia y coordinación para fortalecer la resiliencia digital en sectores críticos.
En Letslaw somos abogados de ciberseguridad con amplia experiencia en el sector, si tu empresa encaja en alguno de los sectores que hemos mencionado, no dudes en contactarnos para que podamos ofrecerte una ayuda personalizada y de calidad.