La Directiva NIS2 se presenta como la legislación vigente, a escala de la UE, en materia de ciberseguridad. Se encarga de proporcionar medidas legales para impulsar toda la protección cibernética en el marco de la UE. Entró en vigor el 27 de diciembre de 2022, tras su publicación en el Diario Oficial de la UE, aunque los estados miembros tienen hasta el 17 de octubre de 2024 para realizar la transposición y publicar las medidas necesarias para cumplir lo establecido por la directiva.
De este modo, la Directiva NIS2 supone promover la cooperación y coordinación entre los países de la UE, ofreciendo una respuesta en materia de seguridad de la información más efectiva.
Para ello, los Estados miembros tendrán que designar o establecer autoridades competentes, adoptar estrategias de ciberseguridad, denominar autoridades de gestión de crisis de ciberseguridad, indicar puntos de contacto únicos sobre ciberseguridad y formar equipos de respuesta a incidentes de seguridad informática (CSIRT).
Asimismo, la Agencia de la Unión Europea para la Ciberseguridad (ENISA) pasa a tener un papel relevante al promocionar entre los estados y autoridades competentes los requisitos y formas de actuar en la prevención, detección y respuesta ante los ciberataques.
Sus principales novedades
Se trata de la segunda versión de la Directiva, la cual mejora la Directiva (UE) 2016/1148. Todo ello implica sanciones más severas para quienes incumplan sus obligaciones, de tal modo que se aplicarían amonestaciones, instrucciones y multas que podrían ascender hasta los dos millones de euros, e incluso, el 2% de los ingresos anuales de la organización.
Con respecto a la responsabilidad de los directivos de las empresas, se fija la obligación de que los órganos de dirección aprueben y supervisen la puesta en práctica de medidas técnicas, operativas y de organización, minimizando el impacto de los incidentes si se produjesen. También se fijan nuevos requisitos de seguridad, añadiendo obligaciones como el uso de cifrado de extremo a extremo o la asistencia a formaciones a los miembros de dirección de las entidades esenciales. Todo ello, junto a la privacidad por defecto desde diseño, la certificación de servicios bajo esquemas europeos o el tratamiento y divulgación de vulnerabilidades.
En otro orden, supone el refuerzo de la seguridad de las cadenas de suministro, permitiendo a las empresas exigir a los proveedores el cumplimiento de la normativa. A partir de ahora, el informe de incidentes será obligatorio, requiriendo a los operadores de servicios esenciales y a los proveedores de servicios digitales que informasen sobre incidentes graves a las autoridades en un plazo máximo de 72 horas. De igual modo, deberán notifica sus CSIRT de referencia sin demora indebida.
Por último, reseñar la integración plena con normativa sectorial, donde se implicaría la Directiva para la Resiliencia Operativa Digital para el sector financiero (DORA) y la Directiva de Resiliencia de Entidades Críticas (CER).
¿A qué empresas se aplica la Directiva NIS2?
Será de obligado cumplimiento para empresas de más de 250 empleados y que contasen con un volumen de facturación anual de 50 millones de euros en adelante. También estarán obligados a su cumplimiento los proveedores que prestasen servicios esenciales, así como los proveedores de servicios digitales que operan en la UE.
Por consiguiente, su aplicación se hace extensible para la administración, las medianas y grandes empresas de determinados sectores (gestión de residuos, industria química, farmacéutica y alimentaria, fabricación de maquinaria pesada, servicios postales y vehículos).
De igual modo, se aplicará a empresas que procesan grandes cantidades de datos personales, como proveedores de servicios de alojamiento en la nube. No obstante, quedan excluidos la defensa o seguridad nacional, la seguridad pública, la policía, el poder judicial o los parlamentos y bancos centrales.
Obligatoriedad de notificación de incidentes
La Directiva NIS 2 estipula que los Estados miembros deberán asegurar que las entidades esenciales notifiquen a su CSIRT de referencia, o a la autoridad competente, cualquier incidente que tuviese un impacto importante en la prestación de sus servicios.
Será impactos significativos si han causado graves perturbaciones operativas de los servicios o pérdidas económicas en la entidad afectada, repercutiendo seriamente a las personas físicas o jurídicas al causar perjuicios materiales o inmateriales.
Las notificaciones de la Directiva NIS2 para los incidentes significativos podrán ser: notificaciones iniciales (alerta temprana, en un plazo de 24 horas desde que hay constancia del incidente) y notificaciones intermedias (actualización, pasadas las 72 horas desde la detección del incidente deberá actualizarse el estado exponiendo una evaluación inicial).
Además, la notificación final contempla la presentación de informe un mes después de la notificación del incidente. Aquí deberá recogerse un informe final con una descripción detallada. Por consiguiente, será necesario incluir aspectos como la gravedad, el impacto, tipo de amenaza que haya provocado, medidas paliativas aplicadas y en curso y repercusiones transfronterizas si las hubiese.
Por tanto, todas las empresas de la UE deberán informarse para ver cómo les afecta la nueva normativa Directiva NIS2 y sus respectivas aplicaciones.
