La «Directiva NIS 2 (SRI 2)» marca un hito significativo en el panorama de la ciberseguridad en Europa. Publicada el 14 de diciembre de 2022 como «Directiva (EU) 2022/2555 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión Europea», establece los requisitos que deben cumplir las infraestructuras críticas para protegerse de amenazas cibernéticas.
¿Qué es la Directiva NIS 2?
La Directiva NIS 2 es una actualización de la anterior Directiva NIS (Directiva 2016/1148), que también regulaba la ciberseguridad en infraestructuras críticas, pero que no logró uniformar los niveles de seguridad en todos los Estados miembros, causando una notable fragmentación. La NIS 2 amplía el alcance de sectores cubiertos, mejora la cooperación entre Estados miembros, establece nuevos plazos para la notificación de incidentes, y pone un mayor énfasis en la seguridad de las cadenas de suministro y la responsabilidad de la dirección de las entidades.
Requisitos y Alcance de la NIS 2: Entidades Esenciales e Importantes
La NIS 2 clasifica a las organizaciones en «entidades esenciales» y «entidades importantes», basándose en criterios de ubicación, tamaño y sector de operación. Abarca sectores críticos como energía, transporte, banca, infraestructuras de mercados financieros, sector sanitario, agua potable, infraestructura digital, y más. Estas entidades deberán cumplir con estrictos requisitos de ciberseguridad y estarán sujetas a sanciones severas por incumplimiento.
Principales Requisitos de Ciberseguridad
El Capítulo IV de la Directiva detalla las medidas que las entidades deben implementar, incluyendo:
- Gobernanza de la ciberseguridad
- Gestión de riesgos de ciberseguridad
- Evaluaciones coordinadas de los riesgos de seguridad de las cadenas de suministro
- Obligaciones de notificación de incidentes
Las entidades deben notificar los incidentes significativos a los equipos de respuesta a incidentes de seguridad informática (CSIRT) y a las autoridades competentes, además de mantener una comunicación continua con los destinatarios de sus servicios.
Impacto y Comparaciones
La NIS 2 supera a su predecesora al cubrir un mayor número de sectores, mejorar la cooperación transfronteriza y establecer sanciones más estrictas. Esta directiva se perfila para convertirse en el estándar mundial de ciberseguridad, similar al papel del RGPD en la protección de datos.
En cuanto a su relación con otras Normativas, podemos concretar que:
- RGPD de la UE: Aunque ambas normativas se centran en la protección de datos, el RGPD se aplica a cualquier organización que maneje datos personales, mientras que la NIS 2 se aplica específicamente a entidades esenciales e importantes en sectores críticos.
- DORA: Mientras la NIS 2 se enfoca en medidas de ciberseguridad para infraestructuras críticas, el Reglamento DORA aborda la resiliencia operativa digital del sector financiero.
- Directiva CER: La CER se centra en la resiliencia y continuidad de las entidades críticas designadas por los Estados miembros, mientras que la NIS 2 enfatiza la ciberseguridad.
Implementación y Cumplimiento
Para cumplir con la NIS 2, las entidades deben seguir un riguroso proceso de implementación que incluye:
- Obtener apoyo experto en gestión.
- Configurar la gestión del proyecto y realizar formación inicial.
- Redactar políticas de seguridad de sistemas de información y definir metodologías de gestión de riesgos.
- Implementar medidas de ciberseguridad y establecer evaluaciones de efectividad y notificaciones de incidentes.
Las multas por incumplimiento pueden alcanzar hasta 10 millones de euros o el 2% de la facturación anual para entidades esenciales, y 7 millones de euros o el 1,4% de la facturación anual para entidades importantes.
Para más información y acceso al texto completo de la Directiva, podéis visitar este enlace.
