Este artículo se centra específicamente en explicar los requisitos prácticos de cumplimiento y los desafíos de implementación de la Directiva NIS2. Proporciona orientación práctica sobre los requisitos de la NIS2 con estrategias reales de cumplimiento así como las implicaciones de no cumplir con la normativa.
¿Qué es la Directiva NIS2?
La Directiva NIS2 es la ley de ciberseguridad más completa de la Unión Europea (UE) aprobada hasta la fecha. Es la segunda versión de la Directiva de Seguridad de Redes y Sistemas de Información (NIS). La NIS2 reformuló la normativa original para eliminar imprecisiones, introducir requisitos de seguridad más exhaustivos y ampliar su alcance, para garantizar una implementación más armonizada en un mayor número de sectores.
Comprensión de la Directiva NIS2: fundamentos y ámbito de aplicación
La Directiva NIS2 establece un conjunto estándar de requisitos en materia de ciberseguridad en todos los estados miembros de la UE con el fin de fortalecer la ciberseguridad y la resiliencia general de entidades esenciales e importantes en todos los estados miembros. Su propósito es identificar y mitigar la creciente complejidad y frecuencia de las amenazas cibernéticas que afrontan estas entidades mediante el establecimiento de una base común de prácticas de gestión de riesgos, controles de ciberseguridad, responsabilidad, gobierno y colaboración.
Objetivos de esta normativa
Con la NIS2, los legisladores buscan corregir las incoherencias de aplicación de la normativa y la desigualdad entre los niveles de seguridad en los diferentes sectores mediante:
- La rendición de cuentas de la dirección, estableciendo los requisitos para que las juntas directivas y los ejecutivos de las organizaciones supervisen y aprueben las medidas de ciberseguridad, con una posible responsabilidad personal en caso de incumplimiento.
- La mejora de la colaboración transfronteriza a través de mecanismos como la Red Europea de Organizaciones de Enlace para la Gestión de Crisis Cibernéticas (EU-CyCLONe).
- El establecimiento de protocolos estrictos de notificación de incidentes con plazos obligatorios para informar a las autoridades de incidentes importantes.
- La ampliación del ámbito de aplicación para abarcar más sectores y tipos de entidades, con vistas a incluir aquellas entidades y servicios que antes no estaban regulados.
- La armonización de las normas de aplicación y sanciones en toda la UE.
- La introducción de requisitos de seguridad basados en riesgos, incluida la adopción de medidas técnicas, operativas y organizativas apropiadas para gestionar los riesgos de ciberseguridad.
Sectores y entidades clave afectados por la NIS2
La Directiva NIS2 establece reglas basadas en el tamaño para garantizar que los esfuerzos regulatorios se centren en entidades cuya interrupción de su actividad o su puesta en riesgo tendría un impacto significativo, manteniendo al mismo tiempo la flexibilidad necesaria para incluir a operadores más pequeños pero que desempeñen funciones críticas. Los principales sectores y entidades obligados son las organizaciones medianas y grandes. Sin embargo, las organizaciones más pequeñas también pueden estar sujetas a la NIS2 si son los únicos proveedores de un servicio crítico en una región o si la interrupción de su actividad podría afectar significativamente a la seguridad o la salud pública.
Son organizaciones que están clasificadas como medianas o grandes según los estándares de la UE. Sin embargo, estos parámetros no aplican para organizaciones de sectores específicos, como aquellas que son:
- Infraestructuras consideradas críticas
- Proveedores de servicios públicos (por ejemplo, redes de comunicación electrónicas)
- Proveedores de servicios cuya interrupción podría afectar a la seguridad o la salud públicas, o causar riesgos sistémicos.
- Proveedores únicos de un servicio para la administración pública
Categorías de entidades según la Directiva NIS2
Las organizaciones, empresas y proveedores afectados por la Directiva NIS2 se dividen en dos categorías: entidades esenciales y entidades importantes. Se trata de una distinción relevante, ya que a cada una se le aplican diferentes regímenes de supervisión y aplicación de la ley, reforzando la resiliencia y la seguridad en las áreas principales de la infraestructura crítica de la UE.
Obligaciones de las entidades importantes y las entidades esenciales según la NIS2
Tanto las EE (entidades esenciales) como las EI (entidades importantes) deben cumplir con los requisitos básicos de la Directiva NIS2, que incluyen:
- Medidas de gestión de riesgos
- Planes de respuesta a incidentes y gestión de crisis
- Continuidad de negocio y recuperación ante desastres
- Gestión de riesgos de cadena de suministro y terceros
- Seguridad de sistemas de información y redes
- Políticas de seguridad para el tratamiento de datos y divulgación de vulnerabilidades
- Políticas de desarrollo, pruebas y mantenimiento seguros
- Formación en ciberhigiene y ciberseguridad para el personal
- Notificación de incidentes
- Gobierno y rendición de cuentas
- Las juntas directivas y la alta dirección deberán aprobar las medidas de ciberseguridad
- La gerencia puede ser considerada personalmente responsable en caso de incumplimiento
- Programas obligatorios de formación y sensibilización a nivel directivo
- Supervisión y aplicación de la normativa
Fechas clave y cronograma de implementación de la Directiva NIS2
La Directiva NIS2 entró en vigor en enero de 2023. Los estados miembros de la UE debían adoptar y publicar las disposiciones legislativas necesarias para cumplir con la Directiva NIS2 antes del 17 de octubre de 2024. Después de esta fecha límite, los estados miembros de la UE tenían hasta el 17 de abril de 2025 de plazo para identificar las entidades esenciales y las entidades importantes definidas en la Directiva NIS2. Las entidades sujetas a la Directiva NIS2 deben registrarse en cualquier Estado miembro de la UE donde presten servicios antes de cada uno de los plazos establecidos y presentar actualizaciones al menos cada dos años.
NIS1 frente a NIS2: ¿qué novedades hay?
Las siguientes tablas muestran una comparación entre la NIS y la NIS2 según la Comisión Europea.
| Capacidades de la NIS | Capacidades de la NIS2 |
|---|---|
| Los estados miembros de la UE mejoran sus capacidades de ciberseguridad. | Se introducen medidas de supervisión y cumplimiento más estrictas. Se establece un régimen de sanciones administrativas aplicables, incluidas multas por el incumplimiento de las obligaciones de gestión de riesgos de ciberseguridad y de presentación de informes. |
| Cooperación según la NIS | Cooperación según la NIS2 |
|---|---|
| La cooperación a nivel de la UE ha aumentado. | Se crea la Red europea de organizaciones de enlace nacionales para las crisis de ciberseguridad (EU-CyCLONe) para apoyar la gestión coordinada de incidentes de ciberseguridad a gran escala en la UE. Se refuerza el intercambio de información y la cooperación entre las autoridades competentes de los estados miembros gracias a la ampliación de cometidos del Grupo de Cooperación. Se establece un proceso de divulgación coordinada de vulnerabilidades recién detectadas en toda la UE. |
| Gestión de riesgos de ciberseguridad de la NIS | Gestión de riesgos de ciberseguridad de la NIS2 |
|---|---|
| Los Operadores de servicios esenciales (OES, por sus siglas en inglés) y Proveedores de servicios digitales (DSP, por sus siglas en inglés) deben adoptar prácticas de gestión de riesgos y notificar a sus autoridades nacionales sobre incidentes importantes. | Se fortalecen los requisitos de seguridad con un conjunto de medidas específicas, que incluyen respuesta a incidentes y gestión de crisis, gestión y divulgación de vulnerabilidades, políticas y procedimientos para evaluar la eficacia de las medidas de gestión de riesgos de ciberseguridad, prácticas básicas de ciberhigiene y formación en ciberseguridad, políticas y procedimientos relativos a la utilización de criptografía y cifrado, seguridad de los recursos humanos, políticas de control de acceso y gestión de activos. Se refuerza la ciberseguridad de la cadena de suministro de tecnologías clave de la información y las comunicaciones. Se fortalecen las obligaciones de notificación de incidentes con disposiciones más precisas sobre procesos de presentación de informes, contenidos y cronogramas. |
Los cambios adicionales incluidos en la Directiva NIS2 son:
- Refuerzo de obligaciones con vistas a que entidades esenciales e importantes apliquen medidas técnicas, operativas y organizativas para gestionar los riesgos.
- Ampliación significativa de los requisitos de notificación de incidentes
- Régimen sancionador más estricto por incumplimiento de la NIS2
Requisitos de cumplimiento de la normativa: acciones, informes e implicaciones legales
La Directiva NIS2 establece una serie de obligaciones y responsabilidades para las entidades incluidas y especifica procesos legales detallados para la supervisión y el mantenimiento del cumplimiento, incluidos los siguientes. Cabe señalar que la Directiva NIS2 no especifica explícitamente ningún cambio tecnológico que deba implementarse. En cambio, describe conceptos y prácticas recomendadas para mejorar la postura de seguridad de las organizaciones.
Medidas técnicas y organizativas de seguridad
- Establecer medidas técnicas, operativas y organizativas proporcionales y adaptadas a los riesgos de la entidad (por ejemplo, tamaño, exposición, probabilidad e impacto).
- Formalizar y mantener políticas para los sistemas de seguridad y la identificación, evaluación y tratamiento de riesgos.
- Definir procesos, roles, herramientas y guías de gestión de incidentes para detectar, clasificar, contener, erradicar y recuperarse de incidentes.
- Desarrollar planes de continuidad empresarial y gestión de crisis para garantizar la rápida restauración de los servicios críticos.
- Evaluar y gestionar riesgos de terceros (por ejemplo, proveedores directos y proveedores de servicios).
- Establecer políticas y procedimientos para evaluar la eficacia de las medidas de gestión de riesgos (por ejemplo, pruebas, métricas y auditorías).
- Mantener altos niveles de ciberhigiene, como la gestión de parches (actualizaciones), endurecimiento de sistemas (hardening), aplicación del principio de privilegio mínimo y registro de eventos.
- Impartir periódicamente formación en materia de ciberseguridad y concienciación sobre riesgos para todos los usuarios.
- Definir reglas sobre cuándo y cómo utilizar la criptografía (por ejemplo, el cifrado de datos en reposo o en tránsito y gestión de claves).
- Emplear y hacer cumplir un proceso de incorporación, traslados y bajas con evaluaciones específicas en función del rol, formación en seguridad obligatoria, compromisos de confidencialidad y medidas disciplinarias definidas.
- Aplicar restricciones de acceso basadas en el principio de privilegio mínimo y de la información estrictamente necesaria con autenticación multifactor (MFA), controles de acceso basados en roles (RBAC), revisiones de acceso periódicas, administración de acceso privilegiado (PAM) para administradores y acceso remoto seguro.
- Mantener un inventario actualizado de hardware, software y activos de datos tanto en las instalaciones locales como en la nube y en aplicaciones SaaS. Además, asignar propietarios y clasificaciones para todos los activos y realizar un seguimiento de su ciclo de vida.
- proteger los canales de comunicación (por ejemplo, correo electrónico, voz, vídeo y SMS).
Qué se debe notificar
Los incidentes importantes deben notificarse. Esto incluye cualquier incidente que haya causado, o pueda causar, una interrupción operativa grave o una pérdida económica significativa, o que pueda producir daños a terceros o interrumpir los servicios.
Plazos de notificación
El cronómetro se pone en marcha cuando la entidad tiene conocimiento de un incidente. En un plazo de 24 horas, debe enviarse una alerta temprana al CSIRT o a la autoridad competente, indicando la presunta causa y el posible impacto transfronterizo.
Se debe presentar una notificación del incidente, que incluya la evaluación inicial, la gravedad, el impacto y los indicadores de compromiso (IoC) en un plazo de 72 horas. Se debe presentar un informe final (o una actualización si el incidente continúa) en un plazo de un mes desde la presentación de la notificación del incidente.
Qué constituye un incidente significativo
Con la Directiva NIS2, la importancia del incidente es una evaluación cualitativa de la gravedad, la interrupción, la pérdida económica o el daño causado a otros. Sin embargo, existen varios umbrales estrictos, que incluyen:
- Pérdida económica: mayor o igual a 500 000 € o el 5 % de la facturación anual (el que sea menor)
- Indisponibilidad: más 30 minutos de interrupción total para servicios de nube, CDN y MSP/MSSP (pueden aplicarse reglas específicas según la entidad)
- Disponibilidad degradada: servicio limitado para más del 5 % de los usuarios de la UE o más de un millón de usuarios durante más de una hora
- Compromiso de datos: puesta en riesgo de la integridad, confidencialidad o autenticidad de los datos
- Acceso no autorizado: capaz de causar interrupciones graves o incidentes recurrentes
A quién notificar y cómo funciona la coordinación
- Notificar al CSIRT nacional o a la autoridad competente
- En el caso de incidentes que afecten a varios estados miembros, el CSIRT, la autoridad competente o el punto de contacto único nacional (SPOC) debe informar a los otros estados miembros afectados y a la Agencia de la Unión Europea para la Ciberseguridad (ENISA) sin demoras indebidas.
- Cuando sea necesario por motivos de interés público (por ejemplo, para prevenir o gestionar un incidente en curso), las autoridades podrán informar al público o exigir a las entidades que lo hagan.
- El SPOC de cada país envíará a la ENISA resúmenes trimestrales que incluyan datos anonimizados y agregados sobre incidentes y ciberamenazas
Expectativas de gobierno y documentación
Gobierno
- Supervisión y responsabilidad de la junta directiva, con la aprobación formal del programa de riesgos cibernéticos por parte de la dirección y la revisión de los resultados al menos una vez al año y tras incidentes graves.
- Definición de roles con asignación de responsables
- Políticas y estándares que se revisan y actualizan periódicamente según sea necesario.
- Declaraciones de tolerancia al riesgo y pautas de aceptación de riesgos.
- Inclusión de todos los terceros en las políticas
Evaluación de riesgos
- Metodología documentada que se aplica al menos una vez al año y cuando se producen cambios significativos (por ejemplo, un nuevo sistema, proveedor o incidente).
- Procesos de análisis de riesgos basados en amenazas
- Registro de riesgos con propiedad, fechas objetivo, tratamientos elegidos y enlaces a controles específicos
Documentación
- Documentos básicos del programa, incluida la política de seguridad de la información, la política de gestión de riesgos, los protocolos de gestión de activos y configuración, las reglas de control de acceso e identidad y los procesos de gestión de cambios.
- Plan de respuesta a incidentes que puede incluir manuales
- Planes de copia de seguridad y recuperación
- Reglas seguras del ciclo de vida de desarrollo de software (SDLC)
- Normas de gestión de proveedores
- Registros de formación en seguridad y concienciación sobre riesgos
Auditoría
Las entidades esenciales se enfrentan a auditorías de seguridad e inspecciones proactivas, mientras que las entidades importantes son controladas después de incidentes o quejas. Las autoridades pueden ordenar inspecciones in situ o a posteriori a distancia, análisis técnicos de seguridad y auditorías independientes específicas. Las consideraciones de auditoría de la NIS2 incluyen:
- Ciclo anual de auditorías internas, pruebas técnicas (por ejemplo, análisis de vulnerabilidades y estado de cumplimiento de la configuración) y pruebas de penetración independientes.
- Registros de métricas y evidencias de cumplimiento, como políticas, evaluaciones de riesgos, inventarios de activos, registros de incidentes, pruebas de recuperación ante desastres, registros de formación, debida diligencia de proveedores y artefactos de gestión de cambios, revisiones, gestión de identidades y acceso y criptografía.
Responsabilidades de la dirección
La Directiva NIS2 responsabiliza a la dirección de:
- Garantizar que se lleven a cabo evaluaciones de riesgos de ciberseguridad
- Implementar medidas técnicas y organizativas de seguridad
- Gestionar los riesgos adecuadamente
- Fomentar la ciberseguridad a través de programas de formación y gestión de riesgos
Cómo abordar los desafíos de implementación de la NIS2 en el mundo real
A continuación se presentan varios pasos recomendados que las organizaciones deben seguir para estar preparadas de cara a implementar los requisitos de la Directiva NIS2.
- Adoptar un enfoque proactivo en materia de seguridad. Realizar análisis de riesgos continuamente para identificar amenazas potenciales de forma proactiva. Esto permite a las organizaciones abordar cualquier problema y garantizar que estén preparadas para satisfacer los requisitos de cumplimiento de la Directiva NIS2.
- Cifrar todos los datos críticos. Para cumplir con los estrictos estándares de ciberseguridad de la Directiva NIS2, se debe utilizar cifrado para proteger datos críticos, incluidas bases de datos, comunicaciones, documentos, servidores e infraestructuras críticas.
- Fomentar una cultura de seguridad. La alta dirección de una organización debe situar la ciberseguridad como una prioridad estratégica para todos los departamentos. Una cultura de ciberseguridad nace desdeel liderazgo y se inculca en la organización exigiendo un nivel mínimo de concienciación en materia de seguridad entre los empleados. La formación en materia de seguridad debe personalizarse para ayudar a los empleados a comprender cómo sus funciones y responsabilidades pueden afectar a la seguridad de la empresa.
- Identificar servicios, procesos y activos críticos vinculados al servicio esencial. Se puede llevar a cabo una evaluación de impacto para determinar qué elementos requerirán protecciones adicionales para garantizar el cumplimiento con NIS2. Esta evaluación ayudará a identificar qué sistemas y procesos entran dentro del ámbito de aplicación de la Directiva NIS2.
- Implementar sistemas de gestión de seguridad de la información y riesgos conformes con los requisitos, haciendo lo siguiente:
- Demostrar responsabilidades definidas
- Garantizar que los procesos clave estén operativos, como las políticas de seguridad del sistema de información, el manejo y la gestión de incidentes, la continuidad de negocio (por ejemplo, sistemas de copia de seguridad y planes de recuperación ante desastres), la gestión de riesgos de terceros, la gestión de vulnerabilidades y la formación de los empleados en seguridad
- Identificar, remediar y monitorizar riesgos de seguridad
Hacer que la autenticación multifactor sea obligatoria para todos los usuarios
La implementación de la autenticación multifactor (MFA) para proteger todas las cuentas, en lugar de contraseñas únicamente, desempeña un papel fundamental en la protección de los activos y el cumplimiento de los requisitos de la Directiva NIS2.
Prepararse para informar de incidentes
En caso de incidente, el tiempo es un factor esencial para cumplir con NIS2. Los pasos recomendados para garantizar una respuesta oportuna a un incidente son:
- Tener plantillas preparadas con antelación para los informes a las 24 horas, 72 horas y 30 días
- Tener una hoja de contacto del equipo de respuesta a incidentes de seguridad informática (CSIRT)
- Definir internamente qué significa «tener conocimiento de una incidencia», ya que el cronómetro se pone en marcha después de que la evaluación inicial confirma un incidente significativo
- Formar a todas las partes que participarán en la ejecución del plan de respuesta a incidentes
Comprender los requisitos de la Directiva NIS2 y prepararse para cumplirlos
Esto implica dedicar tiempo a estudiar los requisitos y evaluar la el nivel de preparación de la organización para cumplirlos. Incluye identificar brechas y poner en marcha planes para subsanarlas antes de la fecha límite de cumplimiento.
Otro componente más de la preparación es garantizar el respaldo de la dirección, la aceptación y compromiso de las partes interesadas y la disponibilidad del presupuesto y los recursos necesarios. Es imprescindible comenzar temprano, ya que los retrasos son casi inevitables y los plazos no los admiten.
Ejemplos reales de cumplimiento de la NIS2 en la UE
Cumplimiento transfronterizo de la NIS2
Para entidades transfronterizas, el cumplimiento de la NIS2 se basa en un principio de «establecimiento principal», mediante el cual un Estado miembro de la UE actúa como regulador principal. Sin embargo, las redes de cooperación (por ejemplo, EU-CyCLONe y el Grupo de Cooperación de la NIS) garantizan que los incidentes que afectan a varios países se gestionen de forma coherente, evitando una aplicación fragmentada. El siguiente ejemplo de proveedor de servicios en la nube ilustra el cumplimiento transfronterizo de la NIS2 en la UE.
Un proveedor de servicios en la nube con sede en EE. UU. y centros de datos en Alemania, Francia e Irlanda está sujeto a la NIS2 en calidad de entidad esencial. En este caso, el proveedor debe designar su establecimiento principal en la UE (por ejemplo, su sede central de Irlanda) como jurisdicción principal. En este caso, el regulador irlandés se convertiría en la principal autoridad supervisora. Sus tareas incluyen coordinar la gestión y la supervisión de incidentes con las autoridades alemanas y francesas. Por ejemplo, si un incidente de seguridad en Alemania interrumpe los servicios en toda la UE, el proveedor lo notifica a través del punto único de contacto (SPOC) de Irlanda, que comparte información con los otros estados miembros.
Coordinación con proveedores externos para el cumplimiento de la NIS2
La gestión de riesgos de terceros y de la cadena de suministro son una parte clave de la NIS2. Según la directiva, las entidades siguen siendo responsables de la seguridad incluso cuando subcontratan servicios. Esto implica significa que deben existir evaluaciones sólidas de los proveedores, cláusulas de salvaguarda, supervisión y obligaciones de presentación de informes para los proveedores externos. El papel de los terceros en las cadenas de suministro de fabricación se demuestra en el siguiente ejemplo.
Un fabricante de productos sanitarios, clasificado como entidad importante, adquiere componentes de IoT de múltiples proveedores en toda la UE. El fabricante está obligado a analizar todo el ecosistema de proveedores para identificar dependencias críticas y tener un plan de continuidad empresarial que incluya acuerdos de abastecimiento alternativos si un proveedor se ve comprometido. Además, los proveedores deben cumplir con la norma ISO/IEC 27001 o estándares equivalentes y proporcionar informes de auditoría de ciberseguridad.
La Directiva NIS2: parte de una tendencia creciente
La Directiva NIS2 establece una base de referencia de ciberseguridad armonizada y obligatoria en toda la UE. Amplía la gama de sectores sujetos a la directiva, establece obligaciones más estrictas de gestión de riesgos y presentación de informes, y responsabiliza a los directivos del cumplimiento de la normativa.
La Directiva NIS2 representa una tendencia creciente para que la ciberseguridad y ciberresiliencia se integren directamente en la legislación. Todos los estados miembros de la UE están obligados a adoptar la Directiva NIS2 como ley.
La Directiva NIS2 abarca organizaciones de todo tipo con la intención de reforzar las defensas frente al aumento de las ciberamenazas. La buena noticia es que la Directiva NIS2 y otras iniciativas similares ayudan a las empresas a mejorar su postura general de ciberseguridad, lo que repercute positivamente en todos los aspectos de las operaciones.
AVISO LEGAL: LA INFORMACIÓN CONTENIDA EN ESTE ARTÍCULO TIENE FINES MERAMENTE INFORMATIVOS, Y NADA DE LO CONTENIDO EN ESTE ARTÍCULO CONSTITUYE ASESORAMIENTO LEGAL ALGUNO. SAILPOINT NO PUEDE OFRECER TAL ASESORAMIENTO Y RECOMIENDA CONSULTAR CON UN ASESOR LEGAL SOBRE LAS CUESTIONES LEGALES APLICABLES.
