¿Qué esperar de la Directiva NIS 2 durante 2024?

En los últimos años, el mundo de la seguridad de la información ha experimentado una transformación notable con la implementación de normativas a nivel internacional y nacional, destacando NIS y su evolución a la NIS 2.

En 2016 entró en vigor la directiva NIS con el propósito de crear un marco normativo unificado para la ciberseguridad en toda la Unión Europea. Esta directiva establece los mecanismos de respuesta ante la creciente dependencia de la sociedad en la tecnología de la información y comunicación, así como la protección de infraestructuras críticas y servicios esenciales contra ciberataques. Cada país adaptó las directrices europeas a su contexto nacional, lo que condujo a variaciones en su implementación entre los estados miembros.

Para abordar estas diferencias, la Unión Europea emitió el 27 de diciembre de 2022 la directiva NIS 2 con el objetivo de establecer requisitos comunes y fomentar la cooperación efectiva entre las autoridades.

El periodo de transposición para los estados miembros comenzó el 17 de enero de 2023 y finalizará el 17 de octubre de 2024. De igual manera, el 17 de enero de 2025 deberán haber notificado las sanciones por incumplimiento y, el 17 de abril de 2025 deberán tener una lista oficial de las entidades consideradas esenciales e importantes.

Entre las modificaciones más significativas que aporta NIS 2 en comparación con la directiva anterior, se pueden señalar:

• Ampliación del alcance: aplicará a un conjunto de entidades más amplio y profundo. Incluye nuevos sectores y amplia los criterios para la inclusión de entidades clasificadas como esenciales o importantes.
• Fortalecimiento de los requisitos de seguridad
• Endurecimiento de las sanciones
• Mayor exigencia de los plazos de notificación de incidentes
• Supervisión por parte de los órganos de dirección

NIS 2: REQUERIMIENTOS PARA LAS ORGANIZACIONES

Medidas para la gestión de riesgos

La directiva NIS2 establece que las entidades esenciales e importantes deben implementar las medidas técnicas, operativas y de organización adecuadas y proporcionadas para gestionar los riesgos relacionados con la seguridad de los sistemas de redes y de información utilizados en sus operaciones o en la prestación de sus servicios con el objetivo de prevenir o minimizar las consecuencias de los incidentes en los destinatarios de sus servicios y en otros servicios. Al establecer estas medidas, las entidades deberán considerar su nivel de exposición, su tamaño y la probabilidad de ocurrencia, así como la gravedad de la posible materialización de una perturbación.

Estas medidas deben adoptar un enfoque basado en todos los peligros con el propósito de proteger los sistemas de redes y de información y el entorno físico de dichos sistemas frente a incidentes, e incluirán al menos los siguientes elementos:

Obligaciones de notificación

En cuanto a las obligaciones de notificación de incidentes, la directiva NIS2 establece que los Estados miembros deben garantizar que las entidades esenciales e importantes informen inmediatamente a su CSIRT de referencia o a la autoridad competente sobre cualquier incidente que tenga un impacto significativo en la prestación de sus servicios. El flujo de notificación propuesto es el siguiente:

Responsabilidades de los órganos de dirección

A la alta dirección le corresponde la responsabilidad de supervisar la gestión de riesgos de ciberseguridad. A continuación, se detallan todas las obligaciones que se establecen para los órganos de Dirección:

• Aprobar la adecuación de las medidas de gestión de riesgos de ciberseguridad adoptadas
• Supervisar la implementación de las medidas de gestión de riesgos
• Seguir una formación con el fin de adquirir conocimientos y competencias suficientes para identificar los riesgos y evaluar las prácticas de gestión de los riesgos de ciberseguridad y su impacto en los servicios prestados por la entidad.
• Ofrecer formación similar a sus empleados de forma periódica
• Responsabilizarse del incumplimiento

Una novedad más, sanciones propuestas por NIS2

Y esto no es todo, como novedad, los estados miembros refuerzan las sanciones para hacerlas más efectivas estableciendo multas que pueden ascender hasta el 2% del volumen de negocios anual de la organización o 10 millones de euros para las entidades esenciales, y hasta el 1,4% del volumen de negocios anual o 7 millones de euros para las entidades importantes.