Directiva NIS2

Detalles

Directiva NIS2

La Directiva NIS2, vigente a partir del 18 de octubre de 2024, representa una actualización de su predecesora Directiva NIS1 (2016), ampliando requisitos y fortaleciendo las obligaciones de ciberseguridad para sectores públicos en toda la Unión Europea (UE).

A continuación, se recoge respuestas a las preguntas más comunes sobre la directiva NIS2 y su impacto.

1. ¿En qué consiste la directiva NIS2 y cúal es su objetivo?

La Directiva NIS2 ((UE) 2022/2555), surge como normativa que establece medidas para reforzar la ciberseguridad en sectores críticos y servicios esenciales. Parte de su objetivo es cubrir las carencias presentes en su antecesora NIS1, de 2016 ((UE) 2016/1148). Ampliando considerablemente su ámbito de aplicación, incluyendo sectores adicionales como el sector espacio, de gestión de servicios de TIC, entre otros.

La NIS2 incrementa las obligaciones de seguridad para las organizaciones incluidas en su ámbito, incorpora medidas para garantizar la protección en la cadena de suministro y la gestión de proveedores. Adicionalmente, detalla cómo deben notificarse los incidentes, promoviendo a su vez la cooperación e intercambio de información sobre incidentes y vulnerabilidades entre los estados miembros, creando una red europea dedicada a la gestión de crisis (EU-CYCLONe).

2. ¿Cuándo entró en vigor la NIS2?

NIS2 fue publicada en el Diario Oficial de la Unión Europea (DOUE) el 27 de noviembre de 2022 tras su aprobación formal; estableciéndose su entrada en vigor el 16 de enero de 2023, contabilizados veinte días posteriores a su publicación. Según lo recogido en el artículo 41, los Estados miembros contaban con fecha límite el 17 de octubre de 2024 para adoptar y publicar las medidas para su trasposición a ordenamientos jurídicos nacionales, siendo de aplicación inmediata a partir del 18 de octubre del mismo año. 

3. ¿Qué diferencias existen entre la NIS1 y la NIS2?

La siguiente tabla detalla algunas mejoras y cambios incluidos en la NIS2, respecto a su antecesora.

Características

NIS1 (2016)

NIS2 (2022)

Ámbito de aplicación

Enfocado en operadores de servicios esenciales (OSE) y proveedores de servicios digitales (DSP).

Amplía el alcance de entidades “esenciales” e “importantes” en sectores diferentes, incluyendo banca, infraestructuras digitales, proveedores de servicios postales, etc.

Criterios de Identificación

Discrecionalidad para que cada Estado decidiera qué entidades entraban en las categorías OSE y DSP

Clasificación uniforme basada en sector en el que operan, tamaño e impacto económico o social, reduciendo inconsistencias de aplicación entre cada Estado miembro.

Requisitos de Seguridad / Gestión de riesgos

Generales y con margen para interpretación.

Más detallados, incluyendo gestión de riesgos, auditorías y respuesta a incidentes.

Notificación de Incidentes

Plazos y definiciones ambiguos para notificar incidentes significativos.

Plazos de notificaciones más precisos:
Notificación inicial/Alerta temprana 24 horas desde que se tenga constancia del incidente.
Notificación intermedia/Actualización 72 horas después del incidente (*)

Sanciones

Dependencia directa de cada Estado miembro, por lo cual podían variar considerablemente.

Armonización de multas de hasta el 2% de la facturación anual global o 10 millones de euros.

Cooperación Europea

Introducción de un Grupo de Cooperación para compartir información.

Mayor cooperación con redes de gestión de crisis y fortalecimiento del rol de ENISA.

Responsabilidad de Líderes

No especifica responsabilidades claras para los líderes empresariales.

Los equipos directivos de las entidades esenciales e importantes son responsables de la conformidad, incluyendo capacitación en ciberseguridad.

(*) 24 horas si se trata de un prestador de servicios de confianza y el incidente tiene impacto directo en la prestación de estos servicios.

4. ¿A qué organizaciones afecta?

Según detalla en su artículo 2, la NIS2 amplía el alcance de aplicación respecto a su predecesora NIS1, incluyendo nueva clasificación que divide los sectores de aplicación en dos categorías: sectores de alta criticidad (Anexo I) y otros sectores (Anexo II). A su vez, la Directiva establece que existen organizaciones categorizadas como esenciales e importantes, donde están incluidas entidades tanto públicas como privadas. A continuación, se describe el detalle:

  • Ubicación: organizaciones que prestan servicios o realizan actividades dentro de la Unión Europea.
  • Tamaño: la Directiva es de aplicación en entidades consideradas medianas o grandes empresas de acuerdo a la Recomendación (UE) 2003/361/CE:
    • Medianas empresas: entre 50 y 250 empleados, con un volumen de negocios anual que no sobrepasa los 50 millones de euros o un balance general anual que no sobrepase los 43 millones de euros.
    • Grandes empresas: superan los límites anteriores.
  • Sector: si opera en alguno de los siguientes sectores:
    • Sectores de Alta Criticidad: energía, transporte, banca, infraestructura de los mercados financieros, sector sanitario, agua potable, aguas residuales, infraestructura digital, gestión de servicios de TIC (de empresa a empresa), administración pública (con exclusión del poder judicial, parlamentos, y bancos centrales), y sector espacio.
    • Otros sectores críticos: servicios postales y de mensajería, gestión de residuos, química, distribución de alimentos, fabricación, proveedores de servicios digitales, investigación

Asimismo, independientemente del tamaño, la Directiva NIS2 aplicará a las entidades dentro de los sectores nombrados, cuando se traten de:

  • Proveedores de redes públicas o servicios de comunicaciones electrónicas.
  • Prestadores de servicios de confianza.
  • Registros y proveedores de DNS.
  • Entidades únicas en un Estado miembro que ofrecen servicios esenciales para actividades sociales o económicas.
  • Entidades cuya interrupción de servicios podría afectar el orden público, la seguridad y la salud pública
  • Servicios cuya interrupción podría causar riesgos significativos en sectores interdependientes o con impacto transfronterizo.
  • Entidades críticas importantes a nivel nacional o regional.
  • Administración pública. Central o regional, con servicios críticos cuya interrupción impactaría actividades esenciales.
  • Entidades identificadas como críticas bajo la Directiva (UE) 2022/2557.
  • Opcionalmente, a discreción de cada Estado miembro:
    • Administración pública local.
    • Centros educativos con actividades de investigación crítica.

5. ¿Qué medidas deben implementar las organizaciones para cumplir con la NIS2?

La directiva establece obligaciones específicas para las entidades que caen dentro de su ámbito, que incluyen medidas para la gestión de riesgos de ciberseguridad, la notificación de incidentes, y la supervisión y cumplimiento de éstas. Las medidas mínimas se detallan a continuación:

  1. Las políticas de seguridad de los sistemas de información y análisis de riesgos.
  2. La gestión de incidentes.
  3. La continuidad de las actividades, como la gestión de copias de seguridad y la recuperación en caso de catástrofe, y la gestión de crisis.
  4. La seguridad de la cadena de suministro, incluidos los aspectos de seguridad relativos a las relaciones entre cada entidad y sus proveedores o prestadores de servicios directos.
  5. La seguridad en la adquisición, el desarrollo y el mantenimiento de sistemas de redes y de información, incluida la gestión y divulgación de las vulnerabilidades.
  6. Las políticas y los procedimientos para evaluar la eficacia de las medidas para la gestión de riesgos de ciberseguridad.
  7. Las prácticas básicas de formación en ciberseguridad.
  8. Las políticas y procedimientos relativos a la utilización de criptografía y, en su caso, de cifrado.
  9. La seguridad de los recursos humanos, las políticas de control de acceso y la gestión de activos.
  10. El uso de soluciones de autenticación multifactorial o de autenticación continua, comunicaciones de voz, vídeo y texto seguras y sistemas seguros de comunicaciones de emergencia en la entidad, cuando proceda.

Además, las empresas deben notificar los incidentes significativos a las autoridades competentes en los plazos establecidos:

  • Notificación inicial: dentro de las 24 horas siguientes a la detección del incidente.
  • Notificación intermedia: dentro de las 72 horas de la detección, proporcionando una evaluación inicial.
  • Notificación final: En el plazo máximos de un mes, con una descripción detallada del incidente y las medidas adoptadas.

6. ¿Qué se considera incidente significativo?

La directiva NIS2 exige la notificación sólo de aquellos casos donde el incidente se considere significativo, y a su vez, establece criterios específicos para determinar estos incidentes:

  • a) ha causado o puede causar graves perturbaciones operativas de los servicios o pérdidas económicas para la entidad afectada;
  • b) ha afectado o puede afectar a otras personas físicas o jurídicas al causar perjuicios materiales o inmateriales considerables.

Tanto las entidades esenciales como las importantes están obligadas a notificar los incidentes significativos, pero no lo están de notificar otro tipo de incidentes.

7. ¿Según la Directiva NIS2 qué entidades del sector público deben cumplir con sus disposiciones y cuáles están exentas?

El Anexo I de la Directiva incluye a la Administración pública central y autonómica (regional) dentro de los sectores de alta criticidad. Aunque la Directiva no incluye expresamente a la Administración pública local o a los centros de enseñanza en su ámbito de aplicación principal, deja a discreción de los Estados miembros la decisión de aplicarles las disposiciones de la Directiva, particularmente cuando dichas entidades desempeñen actividades de investigación.

La Directiva excluye de su ámbito de aplicación aquellas entidades de la Administración pública que operen en los ámbitos de la seguridad nacional, la seguridad pública, la defensa o la garantía del cumplimiento de la ley, incluidas la prevención, investigación, detección y el enjuiciamiento de infracciones penales.

8. ¿Cuáles son las consecuencias del incumplimiento de la NIS2?

El incumplimiento de la Directiva puede acarrear diversas consecuencias para las entidades esenciales o importantes sujetas a sus disposiciones. Estas consecuencias pueden ser impuestas por las autoridades nacionales competentes, a las que la Directiva NIS2 otorga una lista mínima de poderes correctivos y coercitivos hacia las entidades afectadas en caso de incumplimiento.

Al igual que el RGPD, el incumplimiento de NIS2 conlleva cuantiosas multas. El artículo 34 de la Directiva NIS2 establece las siguientes sanciones por incumplimiento:

  • Entidades esenciales: hasta 10 millones de euros o el 2% del volumen de negocios anual (a nivel mundial); lo que represente el mayor importe.
  • Entidades importantes: hasta 7 millones de euros o el 1,4% del volumen de negocios anual; lo que represente el mayor importe.

Medidas correctivas y coercitivas que pueden imponer las autoridades nacionales del Estado miembro:

  • Apercibir por incumplimiento.
  • Adoptar instrucciones vinculantes o requerimientos de subsanación.
  • Ordenar el cese de una conducta que infrinja la Directiva.
  • Exigir la implementación de medidas de gestión de riesgos o el cumplimiento de obligaciones de información en un plazo determinado.
  • Ordenar que se informe a los afectados por una ciberamenaza significativa, ya sean personas físicas o jurídicas.
  • Requerir la aplicación de recomendaciones derivadas de auditorías de seguridad en un plazo razonable.
  • Designar a un responsable de supervisión con tareas específicas para supervisar el cumplimiento durante un tiempo determinado.
  • Hacer públicos los aspectos de incumplimiento para generar transparencia.
  • Suspender la certificación o autorización de la entidad esencial si no cumple los plazos para implementar medidas.
  • Prohibir temporalmente a los responsables de la gestión a nivel ejecutivo (como directores o representantes legales) ejercer funciones directivas. (Aplicable solo a entidades esenciales).

Impactos operativos:

  • Interrupciones en el servicio mientras se implementan las medidas correctivas.
  • Incremento de costos relacionados con la remediación de los fallos.

Exclusión de licitaciones:

  • Impedimento para participar en licitaciones públicas o celebrar contratos con gobiernos.
  • Responsabilidad penal o civil:En algunos Estados Miembros, negligencias graves pueden derivar en procesos legales contra directivos o responsables, o indemnizaciones a terceros.

9. ¿Qué reglas establece la NIS2 para la notificación de incidentes de ciberseguridad?

El artículo 23 de la Directiva establece normas específicas de notificación de incidentes de ciberseguridad, siendo las siguientes las disposiciones claves:

  • Notificación inicial:
    • La notificación al CSIRT o autoridad competente, debe emitirse en un plazo de 24 horas desde que se tenga conocimiento de un incidente significativo ("alerta temprana"). La alerta debe indicar si se sospecha que el incidente es malintencionado y si puede tener impacto transfronterizo.
  • Evaluación y notificación detallada:
    • Dentro de las 72 horas, se debe proporcionar una evaluación inicial que incluya información adicional, como:
      • Indicadores de compromiso (si están disponibles).
      • Evaluación preliminar del impacto y severidad del incidente.
      • Medidas adoptadas para mitigar o contener el incidente.

Esta regla se aplica incluso si no hay ninguna indicación de datos personales expuestos. El plazo será de 24 h para prestadores de servicios de confianza.

  • Actualizaciones periódicas:
    • Se debe mantener actualizada a la autoridad competente sobre cualquier avance en la resolución del incidente, en caso de que sea solicitado (informe intermedio).
  • Informe final:
    • Una descripción detallada del incidente.
    • La causa o amenaza probable.
    • El impacto detallado y medidas paliativas adoptadas y en curso.
    • Información sobre cualquier repercusión transfronteriza, de existir.
    • Un informe completo debe presentarse a más tardar un mes después de la notificación inicial. Este debe contener:
  • Notificación a los usuarios:
    • Si el incidente afecta significativamente a los servicios o datos personales de los usuarios, la entidad debe notificarlos oportunamente, proporcionando medidas que puedan tomar para protegerse.
  • Incidente en curso:
    • Si al presentar en informe final el incidente sigue en curso, los Estados miembros son los encargados de exigir a las entidades afectadas la presentación de un informe de situación en ese momento y uno final en el plazo de un mes una vez hayan gestionado el incidente.
  • Incidente transfronterizo:
    • Será responsabilidad del CSIRT o de la autoridad competente informar en tiempo y forma al punto de contacto único a nivel nacional. encargado de distribuir estas notificaciones a otros países u otras autoridades correspondientes

La identificación de los CSIRT de referencia, las autoridades competentes y el punto de contacto único se establecerá al integrar la norma en la legislación del país.

10. En caso de que la Directiva NIS2 sea aplicable, ¿Cómo puede determinar una entidad si se le clasifica como esencial o importante?

En su artículo 3, la Directiva NIS2 hace distinción entre entidades esenciales e importante, en función del grado de criticidad de sus sectores, del tipo de servicio que ofrece y de su tamaño. Además, la Directiva recoge los criterios de clasificación en los anexos I y II.

La Directiva considera entidades esenciales a:

  • Grandes empresas pertenecientes a sectores de alta criticidad recogidos en el anexo I.
  • Independientemente de su tamaño:
    • Prestadores cualificados de servicios de confianza.
    • Registros de nombres de dominio de primer nivel.
    • Proveedores de servicios de DNS.
  • Medianas empresas proveedoras de redes públicas de comunicaciones electrónicas.
  • Entidades críticas definidas conforme a la Directiva (UE) 2022/2557 sobre resiliencia de entidades críticas.
  • Si así lo determina el Estado miembro, las entidades reconocidas como operadores de servicios esenciales antes del 16 de enero de 2023, según la Directiva (UE) 2016/1148 (NIS1) o el derecho nacional.

La Directiva considera entidades importantes a:

Aquellas pertenecientes a los sectores de alta criticidad (anexo I) o a otros sectores críticos (anexo II) que no cumplan los requisitos para ser consideradas esenciales.

Ejemplos de sectores del anexo II incluyen: servicios postales y de mensajería, gestión de residuos, proveedores de servicios digitales, entre otros.

Adicionalmente, los Estados miembros pueden clasificar a una entidad como esencial o importante, independientemente de su tamaño, cuando:

  • Es el único proveedor de un servicio esencial para el mantenimiento de actividades sociales o económicas críticas en el país.
  • Una interrupción de su servicio pudiera:
    • Tener repercusiones significativas en la seguridad pública, el orden público o la salud pública.
    • Generar riesgos sistémicos significativos, especialmente con repercusiones transfronterizas.
  • Es crítica por su importancia específica a nivel nacional o regional, ya sea para su sector o para sectores interdependientes.

Los Estados miembros tienen la responsabilidad de elaborar una lista de entidades esenciales e importantes antes del 17 de abril de 2025, que debe ser actualizada al menos cada dos años, pudiendo implementar mecanismos de autorregistro, facilitando así su identificación.

11. ¿Qué organismos están involucrados en la gestión de incidentes de acuerdo con las directrices de NIS2?

La Directiva NIS2 establece que la gestión de incidentes son procesos internos responsabilidad de cada entidad afectada, por tanto, no específica organismos externos responsables de dicha gestión.

En su artículo 23, identifica los organismos involucrados en la notificación del incidente, siendo los siguientes:

  • Equipos de respuesta a incidentes de seguridad informática (CSIRT, por sus siglas en inglés): encargados de la recepción de las notificaciones de incidentes significativos por parte de las entidades afectadas. Es también el organismo encargado de la divulgación coordinada de las vulnerabilidades.
  • Autoridades competentes: designadas por cada Estado miembro, supervisan y garantizan el cumplimiento de la directiva, también velan por la implementación de medidas correctivas, incluyendo auditorías, solicitud de multas administrativas por parte de los organismos competentes de acuerdo con la legislación nacional.
  • Punto de contacto único: actúa como enlace para la cooperación transfronteriza en materia de ciberseguridad, facilitando la comunicación entre Estados miembros y, cuando procede, con la Comisión Europea y la Agencia de la Unión Europea para la Ciberseguridad (ENISA, por sus siglas en inglés).
  • Red europea de organizaciones de enlace para las crisis de ciberseguridad (EU-CyCLONe, por sus siglas en inglés): tiene por objetivo respaldar la gestión coordinada de incidentes y crisis de ciberseguridad a gran escala, asegurando el intercambio regular de información relevante entre los Estados miembros y las instituciones de la Unión.

Cada Estado miembro debe designar o establecer estas entidades para asegurar una respuesta efectiva y coordinada ante incidentes de ciberseguridad, según lo dispuesto en la Directiva NIS2.

12. ¿Existe la posibilidad de ser multado por no informar debido a desconocer la existencia del incidente o por informar tardíamente sobre el mismo?

Es posible recibir sanciones si no se reporta un incidente a tiempo o se desconoce su existencia hasta que se hace público. La Directiva NIS2 establece que las entidades esenciales e importantes están obligadas a implementar medidas adecuadas para gestionar riesgos de seguridad, incluyendo sistemas que permitan detectar y reportar incidentes significativos de manera oportuna (artículo 21.2).

El desconocimiento de un incidente no exime de responsabilidad a la entidad afectada, ya que se espera y exige que las organizaciones cuenten con mecanismos de monitorización y gestión de posibles amenazas.

Las sanciones pueden ser atenuadas si la entidad demuestra buenas prácticas, como la existencia de programas de cumplimiento que supongan un refuerzo de la seguridad.

13. ¿Las entidades reguladas por la NIS2 deben estar al tanto de los incidentes reportados por sus proveedores?

Las entidades reguladas por la Directiva NIS2 deben conocer si sus proveedores o prestadores de servicios directos reportan algún incidente que pueda comprometer la seguridad de sus sistemas de redes y de información, o afectar la prestación de sus servicios.

La Directiva establece la necesidad de gestionar los riesgos en la cadena de suministro (artículo 21.1), lo que supone que las entidades deben garantizar la seguridad en las relaciones con sus proveedores y prestadores de servicios, a través de, por ejemplo, la inclusión de cláusulas específicas sobre los niveles de seguridad necesarios para los servicios prestados.

La Directiva también establece mecanismos de intercambio de información sobre ciberseguridad (artículo 29), siendo la responsabilidad de los Estados miembros el garantizar que el intercambio de información se desarrolle dentro de comunidades de entidades esenciales e importantes y, cuando proceda, sus proveedores o prestadores de servicios.

14. ¿Cómo se supervisarán y aplicarán las nuevas normas?

La Directiva NIS2 sitúa la supervisión y la aplicación en el centro de las responsabilidades de las autoridades competentes, estableciendo para ello un marco coherente para las actividades de supervisión y cumplimiento en todos los Estados miembros. La Directiva incluye una lista mínima de medidas de supervisión que las autoridades competentes deben emplear para fortalecer su control sobre las entidades esenciales e importantes. Estas medidas incluyen:

  • Auditorías periódicas y específicas.
  • Inspecciones in situ y a distancia.
  • Solicitud de información necesaria para evaluar las medidas de gestión de riesgos adoptadas.
  • Acceso a documentos o pruebas.

Adicionalmente, la NIS2 establece un régimen diferenciado de supervisión entre entidades esenciales e importantes, con el objetivo de conseguir un equilibrio justo entre las obligaciones de cada una.

Las autoridades competentes deben considerar los detalles específicos de cada caso al ejercer sus poderes de cumplimiento, teniendo en cuenta, por ejemplo, la naturaleza y gravedad de la infracción, así como los daños o pérdidas ocasionados. La Directiva NIS2 también responsabiliza a las personas naturales en posiciones de alta dirección dentro de las entidades afectadas por las medidas de ciberseguridad.

15. ¿Qué obligaciones tiene la alta dirección en las entidades reguladas por la Directiva NIS2?

La alta dirección tiene la responsabilidad última en la implementación y supervisión de las medidas de gestión de riesgos de ciberseguridad en las entidades esenciales e importantes. Como establece NIS2, el incumplimiento por parte de la dirección de las disposiciones de la directiva puede incluir sanciones como prohibiciones temporales, multas administrativas y otras consecuencias establecidas en la legislación nacional.

Las obligaciones principales de los equipos directivos son:

  • Aprobar las estrategias y acciones de gestión de riesgos adoptadas por la entidad.
  • Supervisar la aplicación de las medidas y que estén alineadas con las necesidades de la organización.
  • Formación con el fin de adquirir suficientes conocimientos y habilidades en todo el ciclo de gestión de riesgos.
  • Proporcionar formación regular al personal para mantenerlos actualizados sobre gestión de riesgos.

Además, La Directiva establece que son los Estados miembros los que deben garantizar que los órganos de dirección cumplan con estas responsabilidades.

16. ¿Deben las entidades estar cumpliendo con la Directiva a partir del 18 de octubre de 2024?

No es obligatorio que las entidades cumplan con la Directiva NIS2 a partir del 18 de octubre. Esa fecha marca el plazo para que los Estados miembros transpongan a las leyes nacionales, adaptando sus propias legislaciones para aplicar la directiva.

Sin embargo, es común que la transposición de directivas europeas sufra retrasos. En cualquier caso, una vez que se haya traspuesto a las leyes nacionales, ciertas medidas estarán sujetas a plazos de cumplimientos, lo que brindará tiempo adicional de preparación antes de que se apliquen sanciones.

Aun así, es recomendable la anticipación en la evaluación de las necesidades de cumplimiento y la planificación de las medidas necesarias a implementar.

Compartir

Cibereguraldia

Desde Cyberzaintza hemos lanzado un boletín mensual con la información más relevante a golpe de clic donde se envían las noticias más destacadas sobre el sector de la ciberseguridad

Suscríbete

Boletines publicados

Not configured