Directiva NIS2: Todo lo que Necesitas Saber en este Artículo

En un mundo donde la digitalización avanza a pasos agigantados, la ciberseguridad se ha convertido en un pilar fundamental para garantizar la estabilidad y la confianza en los sistemas que sustentan nuestra sociedad. La Unión Europea lo sabe, y por eso ha lanzado la Directiva NIS2, una normativa diseñada para reforzar la ciberseguridad en sectores críticos y esenciales.

La ciberseguridad se ha convertido en una prioridad para toda empresa y también para toda persona que trabaje conectada a internet.  Los países de la Unión Europea lo saben, y por eso han lanzado la Directiva NIS2, una normativa diseñada para reforzar la ciberseguridad en sectores críticos y esenciales.

En este artículo, te voy a explicar de manera muy sencilla qué es la Directiva NIS 2, cómo afecta a tu empresa (si es que le afecta) y qué pasos clave debes llevar a cabo para cumplir con ella.

¿Qué es la Directiva NIS2?

La Directiva NIS 2 (DIRECTIVA (UE) 2022/2555 DEL PARLAMENTO EUROPEO Y DEL CONSEJO) es una normativa europea publicada el 14 de diciembre de 2022 y que pretende mejorar significativamente el nivel de ciberseguridad para las empresas en todos los Estados miembros.

Esta norma sustituye a la Directiva NIS original anterior (Directiva (UE) 2016/1148), ampliando su alcance y reforzando las medidas para hacer frente al creciente número y sofisticación de ciberataques que existen hoy en día.

¿Por qué se considera tan necesaria esta actualización de la ley europea?

Pues porque los atacantes no solo iban contra las empresas, sino que están poniendo en riesgos muchos sectores fundamentales privados y públicos como la energía, el transporte, la sanidad o las finanzas.

Hay un estudio realizado por INCIBE (Instituto Nacional de Ciberseguridad) muy esclarecedor respecto a este dato.

Y dice así… “en el marco de los incidentes a operadores esenciales y críticos se gestionaron 237 incidentes durante el año 2023”

Y continúa diciendo… “estas empresas o servicios, que son indispensables para el buen funcionamiento diario de la sociedad, incluyen los siguientes sectores: el 25,42% a sistemas financieros y tributarios, el 25% al transporte, el 22,08% a la energía, el 18,33% a las Tecnologías de la Información y Comunicación (TIC) y el 4,58% al agua”.

Además, se registraron 1.673 incidentes referentes a universidades, instituciones sanitarias y otras entidades de la RedIRIS.

Ahí es nada…

Te dejo el estudio en este enlace por si te interesa.

Ámbito de aplicación de la Directiva NIS2 y fecha máxima para su adopción

Una de las grandes novedades de la Directiva NIS 2 es que amplía su ámbito de aplicación.

Ahora afecta a un mayor número de sectores y organizaciones que, hasta hace poco, no estaban regulados por normativas de ciberseguridad.

Lógico por otra parte, según el estudio que hemos mencionado anteriormente de INCIBE.

Según el artículo 41 de la Directiva, la fecha para comenzar a ser obligatoria e implementadas por las empresas es el 18 de octubre 2024

¿Qué sectores y entidades están incluidos en la Directiva NIS2?

Según el artículo 2 de la Directiva, se aplicará en:

1. Entidades medianas o grandes:  Aplicable a todas las entidades públicas o privadas que sean consideradas medianas empresas o que superen ese tamaño, siempre que operen en sectores mencionados en los Anexos I y II de la Directiva (sectores esenciales y críticos).

Anexo I: Sectores de alta criticidad, como:

• Energía (electricidad, gas, petróleo, hidrógeno, etc.).
• Transporte (aéreo, ferroviario, marítimo, fluvial, por carretera).
• Banca y mercados financieros.
• Sector sanitario.
• Agua potable y aguas residuales.
• Infraestructura digital.

Anexo II: Otros sectores críticos, como:

• Producción, transformación y distribución de alimentos.
• Fabricación de productos específicos (sanitarios, electrónicos, vehículos, etc.).
• Proveedores de servicios digitales.
• Investigación.

Si tu empresa se encuentra en alguno de estos sectores te recomiendo que vayas directamente a la DIRECTIVA (UE) 2022/2555 DEL PARLAMENTO EUROPEO Y DEL CONSEJO y leas el Anexo I y Anexo II porque allí se describe con detalle la actividad concreta.

2. Entidades específicas, independientemente de su tamaño: También se aplica a entidades de cualquier tamaño cuando se preste un servicio:

• Por Proveedores de servicios críticos:
  • • Redes públicas de comunicaciones electrónicas.
    • Prestadores de servicios de confianza (como servicios relacionados con identificación digital).
    • Registros y proveedores de servicios de nombres de dominio.
• Por Proveedores únicos de servicios esenciales: Si son el único proveedor de un servicio esencial en un país.
• Con un Impacto en la seguridad pública: cuando una interrupción de sus servicios tiene repercusiones significativas en la seguridad pública, el orden público o la salud pública.
• Por Entidades Críticas: Si su importancia a nivel nacional o regional las convierte en esenciales para otros sectores o servicios interdependientes.
• Por Administraciones Públicas: Incluye a entidades centrales o regionales cuya perturbación pueda afectar actividades sociales o económicas críticas.

Por Entidades críticas, según la Directiva 2022/2557 que es quien la define, se entiende:
a) la entidad presta uno o más servicios esenciales;

b) la entidad opera en el territorio de dicho Estado miembro y su infraestructura crítica está situada en él, y

c) un incidente tendría efectos perturbadores significativos en la prestación por la entidad de uno o más servicios esenciales.

Como sé que no se entiende nada, te pongo varios ejemplos.

Aquí tienes 5 ejemplos de entidades críticas que podrían no ser de gran tamaño, pero cuya importancia radica en el impacto de sus servicios:

Ejemplo 1 Actividad Crítica: Un laboratorio que analiza muestras de agua potable:
Si es el único proveedor en una región, cualquier interrupción en sus servicios podría comprometer la seguridad y la calidad del agua potable, afectando a miles de personas.

Ejemplo 2 Actividad Crítica: Una empresa regional de distribución de energía eléctrica:
Aunque no sea una gran compañía nacional, su interrupción podría dejar sin suministro eléctrico a una comunidad entera, impactando actividades esenciales como hospitales o servicios públicos.

Ejemplo 3 Actividad Crítica: Un operador de transporte público en una ciudad pequeña:
Esta entidad puede ser crítica para garantizar la movilidad de los ciudadanos, especialmente en regiones donde el transporte público es el único medio de conexión.

Ejemplo 4 Actividad Crítica: Un proveedor de software de gestión para hospitales locales:
Aunque no sea una gran empresa tecnológica, si presta servicios de software que gestionan datos de pacientes, su interrupción podría poner en riesgo la atención médica.

Ejemplo 5 Actividad Crítica: Una estación meteorológica que proporciona alertas tempranas de desastres naturales:
Si esta estación es la única fuente de información en una región, su correcto funcionamiento es vital para proteger vidas y bienes.

Estos ejemplos destacan cómo incluso entidades pequeñas pueden ser fundamentales para la seguridad y el bienestar de la población, justificando su clasificación como críticas.

Si aún quieres leer más sobre la aplicabilidad de la NIS2 he creado este artículo nis2 a quien aplica, léelo porque es un post muy completo donde aprenderás como muchos ejemplos si la NIS 2 le aplica a tu empresa o no.

Principales obligaciones para las empresas al cumplir la Directiva NIS2

La Directiva NIS2 establece una serie de obligaciones claras para las empresas.

Estas obligaciones se centran, para explicarlo de manera muy amplia, en la gestión de riesgos y en la respuesta ante incidentes de ciberseguridad. En este artículo requisitos y obligaciones de la NIS2 te lo explico con todo detalle, pero si quieres tener una idea más somera, aquí te comento las principales medidas de seguridad y la respuesta ante incidentes.

Medidas de seguridad

El artículo 21 de la Directiva NIS2 establece que las empresas deben adoptar medidas técnicas y organizativas adecuadas para gestionar los riesgos con el objetivo de proteger los sistemas de redes, información y el entorno físico de dichos sistemas.

Estas medidas incluyen:

• Implementar políticas de ciberseguridad: como la identificación y evaluación de riesgos, gestión de incidentes, gestión de copias de seguridad, seguridad en la cadena de suministro, gestión de la criptografía, etc
• Establecer planes de continuidad y recuperación ante desastres.
• Supervisar regularmente los sistemas.

Notificación de incidentes

En el artículo 23 de la directiva NIS 2 se hace hincapié a que una de las mayores prioridades es garantizar una respuesta rápida a los incidentes de ciberseguridad.

Por ello, las empresas están obligadas a notificar cualquier incidente significativo a los CSIRT (Equipos de Respuesta ante Incidentes de Seguridad Informática). En el caso de España se debe realizar la comunicación a:

INCIBE-CERT: Gestionado por el Instituto Nacional de Ciberseguridad (INCIBE), ofrece soporte técnico y coordina la respuesta a incidentes para ciudadanos, empresas y operadores de infraestructuras críticas en el ámbito privado.

CCN-CERT: Dependiente del Centro Criptológico Nacional (CCN), se encarga de la ciberseguridad en el sector público y de las administraciones públicas.

¿Qué es un impacto significativo?

El artículo 23 define un incidente significativo si:

a) ha causado o puede causar graves perturbaciones operativas de los servicios o pérdidas económicas para la entidad afectada;

b) ha afectado o puede afectar a otras personas físicas o jurídicas al causar perjuicios materiales o inmateriales considerables.

¿Qué es lo que se debe comunicar según la Directiva NIS2?

El artículo 23, detalla los plazos y tipos de informes que deben presentarse por parte de las organizaciones a los equipos CSIRT (equipos de respuesta a incidentes de seguridad informática) o autoridades competentes:

1. Alerta temprana (24 horas):
   • Debe emitirse en un plazo máximo de 24 horas desde que se tenga constancia del incidente significativo.
   • Incluirá información preliminar, como la sospecha de que el incidente sea ilícito o malintencionado y posibles repercusiones transfronterizas.
2. Notificación del incidente (72 horas):
   • Dentro de las 72 horas posteriores, se actualizará la información inicial.
   • Incluirá una evaluación inicial del incidente, como su gravedad, impacto, y posibles indicadores de compromiso.
3. Informe intermedio:
   • A solicitud de las autoridades competentes, la entidad afectada proporcionará actualizaciones pertinentes sobre la evolución del incidente.
4. Informe final (1 mes):
   • Debe presentarse dentro del mes siguiente a la notificación inicial.
   • Incluirá una descripción detallada del incidente (gravedad, impacto, causa probable), medidas paliativas, y repercusiones transfronterizas, si las hubiera.
5. Incidentes en curso:
   • Si el incidente no se ha resuelto al presentar el informe final, se requerirá un informe de situación en ese momento y un nuevo informe final dentro de un mes tras la gestión del incidente.

Estos son las principales obligaciones pero he escrito otro artículo para describir el Paso a Paso para saber como implementar la NIS2. Leelo si de verdad quieres tener un paso a paso detallado para redactar procedimientos y establecer medidas de control en tu organización y cumplir con esta normativa.

Una vez implantada la Directiva NIS2, ¿qué debe hacer la empresa?

Cumplir con la NIS 2 no es un evento único, sino un proceso continuo.

Una vez que la empresa ha implementado las medidas requeridas, hay varios pasos que debe seguir:

Auditorías internas y externas

Se deberían de realizar auditorías periódicas para evaluar la eficacia de las medidas adoptadas.

Estas auditorías pueden ser internas (por personal competente) o externas (por consultores especializados en la NIS 2, por entidades de certificación o por una autoridad competente).

Llevando a cabo estas auditorías periódicas, las empresas podrán evaluar su cumplimiento de forma anual por ejemplo y detectar cualquier brecha de seguridad o en el incumplimiento de la Directiva.

Inspecciones regulatorias

Según se indica en el artículo 32 de la Directiva NIS2, las autoridades competentes pueden realizar inspecciones para comprobar el cumplimiento de la norma. Esto incluye revisiones documentales, entrevistas y análisis de los sistemas de información.

En España algunas autoridades con competencia para hacer este trabajo son:

• INCIBE (Instituto Nacional de Ciberseguridad)
• CCN-CERT (Centro Criptológico Nacional)

Por su parte, en Europa, algunas autoridades con competencia para hacer este trabajo de inspección son:

• ENISA (Agencia Europea de Ciberseguridad)
• Red de CSIRTs (Equipos de Respuesta a Incidentes de Seguridad Informática)

Consecuencias del incumplimiento de la Directiva NIS2

El incumplimiento de la NIS2 no es algo que pueda tomarse a la ligera. La Directiva, en el artículo 34 establece  las condiciones generales para la imposición de multas administrativas a entidades esenciales y entidades importantes que no cumplan con sus requisitos.

Multas y sanciones

Según el artículo 34, las multas y sanciones de la NIS2 se dividen:

• Para entidades esenciales: Hasta 10 millones de euros o el 2% de la facturación global anual, el mayor importe de ambos.
• Para entidades importantes: Hasta 7 millones de euros o el 1,4% de la facturación global anual.

Además, el incumplimiento puede dañar gravemente la reputación de la empresa, lo que podría llevar a la pérdida de clientes y socios.

Para ayudarte a cumplir con la Directiva NIS2 estoy creando un pull de documentación muy sencillo de aplicar en las organizaciones. Si estás interesado en recibirlo tan solo tienes que dejarme un comentario en este artículo.

Pasos para implementar la NIS2 en tu organización

Cumplir con la Directiva NIS2 no tiene por qué ser un proceso complicado si se sabe cómo llevarlo a cabo de manera estructurada.

Aquí te dejo algunos pasos clave:

Evaluación inicial

Identifica los activos críticos de tu organización: por ejemplo por tipos de activos (hardware, software, repositorios, centros de datos, etc).

Y posteriormente evalúa los riesgos de ciberseguridad específicos para tu sector: puedes utilizar para ello Magerit o cualquier otra metodología. Lo importante es que identifiques:

• Al menos las 3 principales dimensiones de la seguridad por cada activo (Confidencialidad, Integridad, Disponibilidad).
• La probabilidad de que se materialicen las amenazas identificadas.
• Las consecuencias de que se materialicen las amenazas identificadas.
• El nivel de riesgo final (el que no se puede asumir y el que sí se puede asumir).

Plan de acción

Diseña un plan que incluya medidas técnicas y organizativas en base al nivel de riesgo final identificado para tus activos. Y asegúrate de involucrar a todo el personal mediante formación y sensibilización.

Y hasta aquí este artículo sobre la Directiva NIS2, espero que tengas una mejor idea sobre esta normativa europea y hayas identificado si le aplica o no a tu organización.

Y recuerda que si necesitas ayuda para el cumplimiento de NIS2 , nosotros podemos ayudarte.

Fecha: 28 enero 2025

Fuente Bibliográfica: Elaboración propia tras lectura de la Directiva NIS2: Directiva 2022/2555 DEL PARLAMENTO EUROPEO Y DEL CONSEJO

Fuente imagen principal: Elaboración propia usando Inteligencia Artificial