El Centro Criptológico Nacional (CCN), organismo dependiente del Centro Nacional de Inteligencia (CNI), ha puesto en marcha un nuevo servicio de atención y resolución de consultas relacionadas con la trasposición de la Directiva NIS2. Esta directiva europea, clave en la protección de infraestructuras críticas y la ciberseguridad de los Estados miembros, requiere ser implementada en los ordenamientos jurídicos de cada país de la Unión Europea antes del 17 de octubre de 2024.
Con esta nueva herramienta, el CCN busca guiar a las entidades afectadas en su cumplimiento, ofreciendo apoyo en la interpretación y adaptación de las medidas necesarias para ajustarse a las exigencias de la normativa.
El papel del CCN en la implementación de la NIS2 en España
Con la fecha límite del 17 de octubre de 2024 para la trasposición de la NIS2 a nivel nacional, el CCN ha asumido un papel proactivo en la orientación y asistencia a las entidades que deben adaptarse a esta normativa. El nuevo servicio lanzado por el CCN incluye la habilitación de un buzón de consultas vía correo electrónico, donde las organizaciones pueden enviar sus preguntas sobre la interpretación y cumplimiento de la NIS2. A través de la dirección de correo [email protected], el CCN proporcionará respuestas detalladas y guiará a las entidades en la implementación de las medidas técnicas, operativas y organizativas que exige la normativa.
Además de este servicio de atención, el CCN ha creado una sección específica en su página web dedicada a la Directiva NIS2. En esta sección, las entidades podrán encontrar una variedad de recursos que incluyen material didáctico, guías para la implementación, y una sección de preguntas frecuentes (FAQ). Esta base de conocimiento está diseñada para proporcionar a las organizaciones toda la información necesaria para cumplir con la NIS2 de manera eficiente y efectiva.
Desafíos de la trasposición de la NIS2
La trasposición de la Directiva NIS2 representa un reto significativo para los Estados miembros y las entidades afectadas. Uno de los principales desafíos es la necesidad de adaptar las legislaciones nacionales para incluir las nuevas obligaciones impuestas por la directiva. Estos ajustes legales y normativos deben ir acompañados de una modernización de los sistemas de gestión de riesgos de ciberseguridad y la mejora de las infraestructuras digitales en muchos sectores críticos.
La NIS2 también introduce requisitos más estrictos en términos de supervisión y ejecución, lo que significa que las entidades deben estar preparadas para auditorías y controles por parte de las autoridades competentes. Además, la directiva refuerza las obligaciones de notificación de incidentes, lo que implica que cualquier entidad que sufra un ataque cibernético deberá reportarlo a las autoridades dentro de plazos establecidos, garantizando una respuesta rápida y coordinada frente a las amenazas.
Otro reto importante es la gestión de la ciberseguridad en la cadena de suministro, ya que muchas organizaciones dependen de proveedores de servicios que también deben cumplir con los estándares de la NIS2. Esto significa que las empresas no solo deben asegurarse de cumplir con la normativa internamente, sino que también deben colaborar con sus socios y proveedores para garantizar que toda la cadena de suministro esté alineada con los requisitos de la directiva.
La Directiva NIS2
La Directiva NIS2, oficialmente conocida como la Directiva 2022/2555 del Parlamento Europeo y del Consejo, representa la evolución de la Directiva NIS original (Network and Information Security), que fue adoptada en 2016. La NIS2 establece un marco jurídico destinado a mejorar la resiliencia cibernética en toda la Unión Europea, particularmente en sectores considerados como críticos o esenciales para el funcionamiento de la sociedad y la economía.
Entre los objetivos de la NIS2 se encuentran la creación de un nivel común y elevado de ciberseguridad en los Estados miembros, el fortalecimiento de la capacidad de gestión de riesgos cibernéticos y la creación de una infraestructura más resistente ante las crecientes amenazas digitales. Esta normativa se enfoca tanto en la protección de infraestructuras críticas como en servicios esenciales que, en caso de sufrir un ataque o vulneración, podrían tener un impacto severo en la sociedad.