El panorama de la ciberseguridad está en constante evolución y, con ello, los marcos regulatorios se están adaptando para abordar los desafíos planteados por nuevas amenazas digitales. Un desarrollo de este tipo es la Directiva relativa a las medidas para un elevado nivel común de ciberseguridad en toda la Unión (Directiva SRI2) o NIS2, una actualización significativa de la Directiva NIS original. La Directiva SRI2 tiene como objetivo mejorar la postura general de ciberseguridad de los operadores de infraestructuras críticas y los proveedores de servicios digitales en toda la Unión Europea.
La Directiva SRI2, adoptada en enero de 2023, representa un marco sólido diseñado para garantizar la seguridad de las redes y sistemas de información, protegiendo en última instancia los servicios vitales y la infraestructura digital.
La Directiva SRI2 se basa en los cimientos de su predecesora (SRI o NIS), introduciendo actualizaciones como una cobertura más amplia de nuevos sectores, un mayor enfoque en la notificación y respuesta de incidentes, y el establecimiento de un Centro de Competencia en Ciberseguridad.
Dado que los estados miembros de la UE deberán transponer la directiva a su legislación nacional antes de octubre de 2024, es importante comprender qué esperar con esta directiva actualizada.
Alcance:
En cuanto al alcance, la NIS2 representa una ampliación en la que pasa de siete sectores a dieciséis-dieciocho. La nueva Directiva se centra en brindar orientación para garantizar una transposición uniforme entre los estados miembros de la UE y amplía las áreas que se cubren. “La NIS2 define dos categorías para las entidades dentro del alcance: importantes y esenciales. Las entidades en ambas categorías deberán cumplir con los mismos requisitos. Sin embargo, la distinción estará en las medidas de supervisión y las sanciones”.[1]
Con lo anterior, las entidades esenciales estarán sujetas a obligaciones de supervisión, mientras que las entidades importantes estarán bajo supervisión ex post, lo que significa que si las autoridades encuentran pruebas de incumplimiento, tomarán medidas apropiadas.
Para comprender mejor, “La NIS2 ha simplificado el ejercicio de delimitación que las autoridades competentes deben realizar. Se definió una lista de sectores y una regla básica de cualquier empresa grande (con una plantilla de más de 250 personas o más de 50 millones de ingresos) o mediana (con una plantilla de más de 50 personas o más de 10 millones de ingresos) de esos sectores se incluirá directamente en el alcance. Sin embargo, las organizaciones pequeñas o micro no están necesariamente excluidas; los estados miembros pueden extender estos requisitos si una empresa cumple con criterios específicos que indican un papel clave para la sociedad, la economía o para sectores o tipos de servicios particulares”.[2]
Los estados miembros deben enumerar todas las organizaciones esenciales e importantes cubiertas por la Directiva SRI2 antes del 17 de abril de 2025. Los estados miembros pueden permitir que las organizaciones se registren de manera independiente. Por lo tanto, las entidades deberán decidir si sus servicios están cubiertos por NIS2, hacer una lista de los estados miembros donde ofrecen servicios “dentro del alcance” y registrarse antes de la fecha límite en cada estado miembro. Es importante mencionar que, aunque la directiva establece una serie de “requisitos mínimos” que deben cumplirse, los estados miembros pueden optar por establecer estándares más altos.
Puntos clave:
Otro componente crucial de la nueva Directiva es el objetivo de mejorar la cooperación entre los estados miembros de la UE en relación con los incidentes y amenazas cibernéticas. Para fomentar el intercambio de conocimientos entre los estados miembros, la Agencia de la Unión Europea para la Ciberseguridad (ENISA) se encargará de crear una Base de Datos de Divulgación de Vulnerabilidades Europea.
“En ese sentido, la Directiva alienta a los estados miembros a simplificar el proceso de notificación de incidentes mediante la implementación de un único punto de entrada para los incidentes para reducir la carga administrativa, incluso en el caso de incidentes transfronterizos entre estados miembros”.[3]
La SRI2 ha incluido un elemento clave en relación con el enfoque en las cadenas de suministro clave, en el que las empresas individuales serán responsables de gestionar los riesgos de ciberseguridad dentro de las asociaciones con proveedores, así como en sus propias cadenas de suministro. De esta manera, los proveedores que no estén dentro del alcance de la SRI2 podrían verse afectados, ya que, aunque no estén supervisados por las autoridades nacionales en relación con la NIS2, sí lo estarán por parte de sus clientes.
“Será obligatorio que la dirección asuma la responsabilidad de su madurez en ciberseguridad. Esto incluirá la realización de evaluaciones de riesgos y la aprobación de planes de tratamiento de riesgos para su implementación, entre otras tareas”.[4] Dicho esto, la SRI2 establece una responsabilidad mejorada que se asigna a la dirección de las organizaciones dentro del alcance de la directiva. Para lograrlo, la dirección de las organizaciones debe seguir una formación en ciberseguridad. Además, se recomienda brindar formación en concienciación sobre ciberseguridad a los empleados de todos los niveles para promover una cultura de seguridad, como, por ejemplo, fomentar la adopción de buenas prácticas de ciberseguridad entre los empleados, haciendo hincapié en la gestión de contraseñas, las actualizaciones de software y los hábitos de navegación seguros, entre otros.
Jurisdicción y sanciones:
Según la Directiva SRI2, se considera que las entidades vitales y significativas están bajo la autoridad del estado miembro en el que llevan a cabo sus funciones.
Si la entidad ofrece servicios en más de un estado miembro, cada uno de estos estados miembros debe tener autoridad sobre ella. Además, “para las entidades donde el servicio se presta o depende de operaciones fuera de la UE, deben garantizar la continuidad de sus servicios en la UE en caso de interrupción de sus operaciones fuera de la UE”. [5]
La NIS2 introduce sanciones más graves por incumplimiento, incluidas multas de hasta el 10% de las ventas anuales de la entidad. Estas sanciones varían según si se trata de una entidad esencial o importante. “Se pueden imponer multas de hasta 10,000,000 de euros o el 2% del total de la facturación internacional a las empresas en la primera categoría. Para la segunda categoría, las multas pueden ser de hasta 7,000,000 de euros o el 1.4% del total de la facturación internacional”.[6]
Preparación:
Conociendo todo lo anterior, los estados miembros y las propias entidades deben comenzar a prepararse para transponer la Directiva SRI2 en sus sistemas. Para ello, es importante comenzar a identificar los “servicios críticos, procesos y activos de la organización que proporcionan el servicio esencial según se define en NIS2. Un método para lograr esto es una Evaluación de Impacto Empresarial en toda la organización para resaltar los procesos críticos de la organización y su dependencia de las redes y sistemas de información”. [7]
Además, las entidades deben comenzar a tener un control sobre sus riesgos de seguridad de la información para implementar un sistema de gestión con respecto a la información y sus riesgos. Del mismo modo, es importante realizar un análisis de la cadena de suministro de la entidad para iniciar el proceso de gestión de seguridad de la cadena de suministro.
Dado que la Directiva NIS2 trae consigo una nueva era de regulación de ciberseguridad en la Unión Europea, las organizaciones deben prepararse de manera proactiva para cumplir con sus requisitos. Al comprender el alcance de la directiva, implementar medidas de seguridad sólidas, fomentar una cultura consciente de la ciberseguridad y colaborar con las autoridades competentes, las organizaciones pueden mejorar eficazmente su postura de ciberseguridad y contribuir a un panorama digital más seguro. Adoptar estos pasos no solo garantizará el cumplimiento, sino que también fortalecerá la resiliencia de una organización frente a las cambiantes amenazas cibernéticas.
________________
[1] https://www.ey.com/en_be/cybersecurity/how-to-prepare-for-the-nis2-directive
[2] https://www.ey.com/en_be/cybersecurity/how-to-prepare-for-the-nis2-directive
[3] https://www.ey.com/en_be/cybersecurity/how-to-prepare-for-the-nis2-directive
[4] https://www.ey.com/en_be/cybersecurity/how-to-prepare-for-the-nis2-directive
[5] https://www.ey.com/en_be/cybersecurity/how-to-prepare-for-the-nis2-directive
[6]https://www.nnit.com/our-solutions/cybersecurity/compliance-privacy/cybersecurity-how-to-prepare-for-the-nis2-directive/
[7] https://www.ey.com/en_be/cybersecurity/how-to-prepare-for-the-nis2-directive
