Si estás aquí, probablemente sea porque eres un profesional de IT que quiere estar al día con la normativa de ciberseguridad, especialmente si tu organización opera dentro de la Unión Europea (UE). Una de las más importantes que debes conocer es la Directiva NIS2, la segunda versión de la ley sobre Seguridad de las Redes y de la Información (NIS - Network and Information Security).
La comprensión de las implicancias del cumplimiento de la NIS2 es el primer paso que necesites dar. Así que aquí reunimos todos los datos relevantes para ayudarte en la adaptación al marco de ciberseguridad descripto en esta disposición.
En las próximas líneas exploraremos los detalles de la Directiva NIS2 y la fecha límite de implementación de dicha norma que es de carácter obligatorio.
Tabla de contenidos
- ¿Qué es la Directiva NIS2?
- ¿Por qué es importante el marco NIS2 y quién lo necesita?
- Ámbito de cumplimiento y aplicación de la norma NIS2
- Requisitos: ¿Cómo prepararse para la Directiva NIS2?
- Plazos de NIS2
¿Qué es la Directiva NIS2?
La Directiva NIS2 es un marco legislativo adoptado por la Unión Europea para reforzar la ciberseguridad en la región, que entró en vigor el 16 de enero de 2023 tras haber sido propuesto en 2020.
Partiendo de su predecesora, la NIS, promulgada en 2016, esta versión actualizada refleja la evolución del escenario digital, además de representar una mejora sustancial respecto de esta última, que variaba significativamente entre los estados miembros. Esta falta de coherencia creó un sistema desarticulado en el que algunas empresas y organizaciones se clasificaban como esenciales en ciertos países, pero no en otros.
Para hacer frente a este obstáculo, la Comisión Europea emprendió una revisión de la Directiva NIS con la finalidad de delimitar claramente las organizaciones cubiertas y sus obligaciones específicas.
En consecuencia, la NIS2 adopta una postura más firme al garantizar un nivel común de seguridad en las redes y en los datos en toda la UE, más allá de los sectores críticos como la energía, el transporte, los bancos y la salud.
NIS vs. NIS2
La Directiva NIS2 es una versión actualizada de la NIS. Si bien ambas acuerdan con la normativa de la UE sobre ciberseguridad, la diferencia más notable es su ámbito de aplicación.
Mientras que la NIS se dirigía principalmente a los operadores de servicios esenciales y proveedores de servicios digitales, la NIS2 amplía su ámbito de aplicación para cubrir sectores y entidades adicionales, incluyendo los marketplaces y los motores de búsqueda.
La NIS2 también es más proactiva que su predecesora en lo que respecta a la notificación de los incidentes, la Gestión de Riesgos y su vínculo con las autoridades de supervisión.
Además de los requisitos más estrictos de la comunicación de los problemas, extiende la lista de los inconvenientes de seguridad que deben darse a conocer a las autoridades.
También refuerza el papel de los responsables nacionales competentes en la supervisión del cumplimiento de la Directiva y la coordinación de los esfuerzos de ciberseguridad a nivel de la UE.
¿Por qué es importante el marco NIS2 y quién lo necesita?
El marco NIS2 es la ley. Nadie puede saltearla, y por la siguiente razón:
La Directiva NIS2 es importante porque establece requisitos y obligaciones para que las organizaciones que operan en la UE prevengan y respondan eficazmente a los incidentes de ciberseguridad.
Así que, si este es tu caso, es importante que sepas cómo se aplica a tu empresa, ya que afecta prácticamente a todos los sectores, incluidos la energía, el transporte, los bancos, la salud y los servicios digitales.
Estos rubros se consideran críticos para el funcionamiento de la sociedad y la economía, por lo tanto son los objetivos principales de los ciberataques. Para hacer frente a esto, dichas organizaciones pueden reforzar sus medidas de ciberseguridad, reducir el riesgo de ciberincidentes y proteger datos e infraestructuras sensibles.
Como anticipamos, la Directiva NIS2 extiende su ámbito de aplicación para cubrir una gama más amplia de entidades, abarcando los marketplaces y los motores de búsqueda. Esto significa que las empresas que prestan servicios digitales o gestionan plataformas online también se ven afectadas por la normativa.
Ámbito de cumplimiento y aplicación de la norma NIS2
En cuanto al ámbito del cumplimiento de la Directiva NIS2, se extiende a diversas entidades y sectores dentro de la Unión Europea para garantizar un nivel común de seguridad de las redes y de los datos.
La UE establece los criterios y directrices para que las organizaciones, contemplando los Operadores de Servicios Esenciales (OES - Operators of Essential Services) y los Proveedores de Servicios Digitales (DSP - Digital Service Providers), cumplan los requisitos descriptos en la NIS2 para mejorar su posición de seguridad y mitigar el riesgo de incidentes cibernéticos.
Veamos qué organizaciones entran dentro de estas categorías.
Entidades cubiertas por la NIS2
- Operadores de Servicios Esenciales (OES): empresas que operan en sectores críticos como la energía, el transporte, los bancos y la salud, que entran en el ámbito de cumplimiento de la NIS2.
- Proveedores de Servicios Digitales (DSPs): plataformas online, motores de búsqueda y otros prestadores de servicios digitales también contemplados por la Directiva. Estas entidades deben adherirse a sus requisitos para salvaguardar sus redes y sistemas de información de los riesgos cibernéticos.
Ahora, la Directiva NIS2 también reconoce la naturaleza interconectada de los OES y los DSPs y enfatiza las dependencias e interdependencias entre estas entidades para reforzar la ciberseguridad.
Dependencias entre los OES y los DSPs
- Dependencias operativas: los OES y los DSPs necesitan de los servicios e infraestructuras de los demás para funcionar eficazmente. Por ejemplo, una empresa de transporte (OES) puede requerir un proveedor de la nube (DSP) para el almacenamiento y procesamiento de datos.
- Dependencias de la cadena de suministro: los OES y los DSPs se encuentran interconectados a través de dichas cadenas, donde las interrupciones en una entidad posiblemente tenga efectos en cascada en otras. Así, un incidente cibernético en un DSP impacta en los servicios del OES, provocando interrupciones operativas.
Interdependencias entre los OES y los DSPs
- Intercambio e integración de datos: los OES y DSPs son capaces de compartir información y anexar sistemas para mejorar la prestación de servicios y la eficiencia. Esta interdependencia requiere sólidas medidas de ciberseguridad para proteger esos datos y evitar que las ciberamenazas pongan en peligro dichos sistemas. Por ejemplo, un hospital y un proveedor de historiales clínicos basados en la nube comparten detalles de los pacientes de forma segura.
- Respuesta a ciberincidentes: los OES y los DSPs pueden colaborar y coordinar sus esfuerzos para mitigar el impacto y restaurar los servicios con celeridad. Las interdependencias en los mecanismos de respuesta a incidentes resultan esenciales para una resiliencia eficaz en materia de ciberseguridad. Como ejemplo, una aerolínea colabora para hacer frente a un ataque de ransomware.
Requisitos: ¿Cómo prepararse para la Directiva NIS2?
Los requisitos de la Directiva NIS 2 abarcan diversas áreas que repercuten en la posición global de seguridad de las entidades incluidas en su ámbito de aplicación. Veámoslo en detalles:
Gestión de Riesgos
Las organizaciones deben aplicar medidas para reducir los ciberriesgos, como la Gestión de Incidentes, el refuerzo de la seguridad de la cadena de suministro y de las redes, y la optimización del control de acceso y el cifrado.
Responsabilidad corporativa
La Dirección Corporativa se ocupa de supervisar, aprobar y recibir formación sobre las medidas de ciberseguridad de la entidad para hacer frente a los ciberriesgos. Todo esto para evitar sanciones para ellos mismos, incluyendo la responsabilidad civil y posibles prohibiciones temporales para desempeñar este tipo de funciones.
Obligaciones de reportes
Las entidades tienen que establecer procesos para notificar rápidamente los incidentes de seguridad que tengan un impacto importante en su prestación de servicios o en sus destinatarios. El requisito es respetar plazos específicos como la “alerta temprana” de 24 horas estipulada por la Directiva NIS2.
Continuidad del negocio
Las organizaciones están obligadas a desarrollar planes para garantizar la continuidad del negocio en caso de incidentes cibernéticos graves, abarcando consideraciones como la recuperación del sistema, los procedimientos de emergencia y la formación de un equipo de respuesta a las crisis.
Medidas de seguridad
La Directiva NIS2 exige que las entidades apliquen diez medidas de seguridad mínimas para hacer frente a ciberamenazas. Son las siguientes:
- Realizar evaluaciones de riesgos y establecer políticas de seguridad para los sistemas de información.
- Implementar procedimientos para examinar la eficacia de las medidas de seguridad.
- Definir políticas para el uso de criptografía y cifrado cuando sea necesario.
- Elaborar planes de gestión de incidentes.
- Garantizar la seguridad en la adquisición y desarrollo de los sistemas.
- Impartir formación en ciberseguridad y promover prácticas básicas de higiene informática.
- Establecer procedimientos de seguridad para los empleados con acceso a datos sensibles.
- Crear planes de continuidad del negocio para gestionar las operaciones durante y después de los incidentes.
- Utilizar soluciones de cifrado y autenticación multifactor.
- Aplicar medidas de seguridad en las relaciones de la cadena de suministro.
Plazos de NIS2
La fecha límite para la aplicación de la Directiva NIS2 es el 17 de octubre de 2024, cuando todos los Estados miembros de la UE deben haber incorporado sus requisitos a la legislación nacional.
Las sanciones por incumplimiento consisten en recursos no monetarios, multas administrativas y condenas penales para las entidades. Si bien pueden variar según el Estado miembro, incluyen una lista mínima de sanciones administrativas por infracciones de ciberseguridad.
Sin embargo, las autoridades nacionales de supervisión en el marco de la NIS2 tienen potestad para aplicar sanciones no monetarias como órdenes de cumplimiento, instrucciones vinculantes, obligaciones de aplicación de auditorías de seguridad y de notificación de amenazas a los clientes de las entidades.
Estas acciones pretenden garantizar que los ejecutivos de alto nivel sean considerados responsables y mitigar el riesgo de negligencia grave en la gestión de las amenazas a la ciberseguridad.
Así, hasta que la NIS2 se convierta en una ley nacional en un país de la UE en el que opera tu empresa, evalúa si entras en el ámbito de aplicación y determina qué unidades se verán afectadas.
Si efectivamente estás alcanzado por la normativa, revisa tus medidas de seguridad, actualiza las políticas y crea una estrategia para el cumplimiento de la Directiva. Luego introduce en tu cadena de suministro los nuevos protocolos de seguridad y los requisitos de notificación de incidentes mencionados anteriormente para evitar posibles retrasos.
Reflexiones finales
Un procedimiento ordinario de cumplimiento de la Directiva NIS2 implica evaluaciones de seguridad, auditorías, consultas e implementación de herramientas.
La NIS2 impone sanciones más severas por incumplimiento, como multas de hasta el 10% de los ingresos anuales de una entidad, además de los daños a la reputación.
Para prepararte para el cumplimiento de la Directiva, debes planificar con antelación con las siguientes acciones: creación de una hoja de ruta, identificación de los procesos críticos, aplicación de medidas de seguridad sólidas, tratamiento de las vulnerabilidades de la cadena de suministro, fomento de una cultura orientada a la cibernética y búsqueda de expertos que te orienten para acatar la normativa con eficacia.
Como mencionamos, puedes anticiparte con ciertas tareas que te facilitarán el proceso, tales como el escalamiento de los incidentes y los procedimientos de reportes.
¡Mucha suerte!
