Refuerzo de las medidas de seguridad: La nueva Directiva NIS
En un mundo cada vez más conectado y dependiente de la tecnología, la ciberseguridad se ha convertido en una preocupación prioritaria. La Unión Europea ha respondido a este desafío mediante la aprobación de la Directiva NIS2. Esta nueva directiva, sigue la estela de la Directiva NIS1, que fue promulgada en 2016, y busca fortalecer las medidas de seguridad y respuesta ante incidentes cibernéticos en toda Europa, fomentando la implementación de un régimen homogéneo en la materia en todos los Estados Miembros.
En este artículo, exploraremos los aspectos clave de la Directiva NIS2, centrándonos en las medidas de seguridad, las novedades que presenta y su implementación en España.
Las medidas de seguridad de la Directiva NIS2:
La Directiva NIS2 establece un conjunto de medidas de ciberseguridad destinadas a proteger los sistemas de información y garantizar la continuidad operativa de los servicios esenciales y digitales. Estas medidas incluyen las políticas de seguridad de los sistemas y la evaluación de riesgos, la aplicación de medidas preventivas y la adopción de planes de gestión de incidentes, la implementación de sistemas de evaluación de la eficacia de las medidas de gestión de riesgos implementadas, la divulgación de vulnerabilidades o la encriptación. Las organizaciones deben implementar medidas proporcionadas a los riesgos identificados y adaptadas a su tamaño y naturaleza.
Una de las principales medidas de seguridad es la evaluación de riesgos. Las organizaciones deben identificar y evaluar los posibles riesgos cibernéticos a los que están expuestas, analizando las amenazas y vulnerabilidades asociadas. Con esta evaluación, se pueden tomar decisiones informadas sobre qué controles y medidas de seguridad implementar para mitigar los riesgos identificados.
Otra medida clave es la implementación de sistemas de detección y respuesta. Estos sistemas permiten identificar y responder rápidamente a posibles incidentes cibernéticos, minimizando el impacto y reduciendo el tiempo de inactividad. Esto implica el monitoreo constante de los sistemas y redes, la detección temprana de intrusiones o comportamientos anómalos, y la implementación de mecanismos de respuesta efectivos. La implementación de planes de detección y respuesta en este ámbito implica la definición de los roles y responsabilidades de los equipos de respuesta, establecer líneas de comunicación claras, y describir los procedimientos para la contención, mitigación y recuperación de los incidentes. La rápida respuesta y gestión de incidentes puede reducir el impacto y minimizar las consecuencias para las organizaciones y los usuarios.
Además, la directiva enfatiza la importancia de la prevención, instando a las organizaciones a implementar medidas técnicas y organizativas para evitar posibles incidentes cibernéticos. Estas medidas pueden incluir la segmentación de redes, la autenticación multifactorial, el cifrado de datos, la capacitación en ciberseguridad para el personal y la implementación de políticas claras de seguridad.
Lo nuevo en la Directiva NIS2:
La Directiva NIS2 introduce algunas novedades significativas con respecto a su predecesora, la Directiva NIS. Una de las principales novedades es la ampliación del ámbito de aplicación, que ahora incluye a servicios digitales, tales como plataformas en línea, motores de búsqueda y servicios en la nube. Esto reconoce la creciente importancia de estos servicios en nuestra sociedad digital y busca garantizar su seguridad y continuidad operativa. Asimismo, incluye a entidades del sector de la fabricación de productos farmacéuticos, dispositivos, médicos, dispositivos químicos y a entidades del sector de la alimentación, entre otros.
También se amplía el ámbito de aplicación con respecto del tamaño de las empresas. Si bien antes solo las entidades de gran tamaño (más de 250 empleados y/o 50 millones de euros en volumen de negocios anual) las medianas empresas (más de 50 empleados o 10 millones de euros en volumen de negocios anual) cobran importancia en esta nueva directiva debido a su articulo 2, que las incluye dentro del ámbito de aplicación. No obstante, cabe señalar que el nivel de cumplimiento exigible no será el mismo a todas las entidades por igual, previéndose un régimen más exigente para las entidades que la directiva califica como “esenciales” que para las “entidades importantes”.
En general, salvando las excepciones específicamente previstas, serán entidades importantes aquellas entidades que por número no sean consideradas grandes empresas o aquellas que se dediquen a alguno de los sectores incluidos en NIS2, pero no por NIS1 con independencia de su tamaño. Por el contrario, serán entidades esenciales, aquellas de gran tamaño que ejerzan su actividad en alguno de los sectores ya incluidos en NIS1.
La directiva también introduce requisitos claros en términos de notificación de incidentes cibernéticos. Las organizaciones deben notificar a las autoridades competentes sobre incidentes significativos en un plazo máximo de 24 horas. Esto permite una respuesta más rápida y coordinada ante los incidentes, facilitando el intercambio de información y la adopción de medidas adecuadas para mitigar los riesgos.
Asimismo, la Directiva NIS2 establece que tanto los miembros de los órganos de dirección como los empleados deben de asistir periódicamente a formaciones en materia de ciberseguridad con el objetivo de que adquieran los conocimientos y destrezas suficientes que les permitan detectar riesgos y evaluar las prácticas de gestión de riesgos en esta materia y su repercusión en los servicios proporcionados por la entidad.
Otra de las principales novedades incluidas por NIS2 es el aumento de la responsabilidad de los órganos de dirección empresariales a este respecto, en la medida en que esta nueva directiva les hace responsables de supervisar y garantizar el cumplimiento de las medidas para la gestión de riesgos de ciberseguridad.
La Directiva NIS en España:
En España, la Directiva NIS2 tiene que ser transpuesta a más tardar el 17 de octubre de 2024. Por su parte, NIS1 fue transpuesta a través del RD-ley 12/2018 de septiembre, de seguridad de las redes y sistemas de información, que establece los requisitos y obligaciones para los operadores de servicios esenciales y proveedores de servicios digitales en términos de ciberseguridad. También establece las funciones y responsabilidades de la autoridad nacional competente, el Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC), en la supervisión y coordinación de la ciberseguridad en España.
El RD-ley 12/2018 establece las obligaciones de ciberseguridad para los operadores de servicios esenciales y proveedores de servicios digitales en España. Estas organizaciones deben implementar medidas adecuadas de ciberseguridad y contar con planes de gestión de incidentes. Además, deben notificar incidentes significativos al CNPIC y colaborar con las autoridades competentes en la gestión de los incidentes.
En conclusión, la Directiva NIS2 representa un importante avance en la protección y fortalecimiento de la ciberseguridad en Europa y en España. Con medidas de seguridad claras y robustas, se busca salvaguardar los sistemas de información y garantizar la continuidad de los servicios esenciales y digitales.
A la espera de conocer cómo se traspondrá esta directiva en España, la mejor forma para prepararse para el cumplimiento de la nueva normativa es la realización de una evaluación de riesgos de ciberseguridad que permita conocer tus fortalezas y puntos débiles.
En Letslaw contamos con profesionales especializados en materia de ciberseguridad. Siendo esto así, estaremos encantados de ayudarte con la adaptación de la actividad de tu empresa a la nueva normativa y resolver todas las dudas que puedas tener al respecto.
Marta Moreno cuenta con experiencia profesional internacional trabajando tanto en inglés como en francés en el seno de empresas como Microsoft o IBM en las que se ha dedicado al asesoramiento legal en materias como protección de datos, contratación, comercio electrónico o compliance penal.