NIS2: Nueva Directiva Europea de Ciberseguridad

La creciente dependencia de las tecnologías digitales en todos los sectores ha incrementado tanto las oportunidades como los riesgos asociados. En respuesta a estos desafíos, la Unión Europea ha reforzado su marco normativo de ciberseguridad con la Directiva NIS2, una actualización de la primera Directiva de Seguridad de Redes y Sistemas de Información (NIS), que pretende adaptarse a un entorno cada vez más digitalizado y lleno de amenazas.

Aunque su entrada en vigor fue el 16 de enero de 2023, no es hasta el pasado 18 de octubre cuando se publicó la transposición a través del REGLAMENTO DE EJECUCIÓN (UE) 2024/2690 DE LA COMISIÓN, de 17 de octubre de 2024 por el que se establecen las disposiciones de aplicación de la Directiva (UE) 2022/2555 en lo que respecta a los requisitos técnicos y metodológicos de las medidas para la gestión de riesgos de ciberseguridad y en el que se detallan los casos en que un incidente se considera significativo.

¿Qué es la Directiva NIS2?

Se trata de una normativa europea adoptada para mejorar la ciberseguridad en toda la Unión Europea. Sustituye a la primera Directiva NIS, aprobada en 2016, y amplía su alcance y obligaciones. La NIS2 surge como respuesta a esa necesidad de actualización y fortalecimiento de las medidas establecidas en la Directiva NIS1, erigiéndose como un marco normativo estratégico para abordar los retos actuales en materia de ciberseguridad en el marco de la Unión Europea. El objetivo principal de esta nueva normativa es garantizar un alto nivel común de seguridad en redes y sistemas de información para mejorar la resiliencia y la capacidad de respuesta ante incidentes cibernéticos en Europa.

Los requisitos técnicos y metodológicos de las medidas para la gestión de riesgos de ciberseguridad previstos en el anexo del presente Reglamento se basan en normas europeas e internacionales, como las normas ISO/IEC 27001, ISO/IEC 27002 pertinentes para la seguridad de las redes y los sistemas de información.

¿Para qué se ha creado?

La Directiva NIS2 se ha creado con el fin de hacer frente al creciente número de ciberataques que amenazan a las infraestructuras críticas y sectores esenciales. A medida que las amenazas cibernéticas se hacen más sofisticadas, Europa necesita una regulación que no solo proteja a las organizaciones individuales, sino que también fortalezca la seguridad colectiva de la región.

¿A quién afecta?

NIS2 afecta a una amplia gama de organizaciones, tanto públicas como privadas, que se consideran esenciales para el buen funcionamiento de la economía y la sociedad. Las organizaciones afectadas se agrupan en dos categorías principales:

1. Operadores de servicios esenciales: Incluye sectores clave como energía, salud, finanzas, agua, transporte y telecomunicaciones.
2. Proveedores de servicios digitales: Se refiere a empresas que proporcionan servicios online como motores de búsqueda, plataformas de comercio electrónico o servicios en la nube.

Además, NIS2 amplía su alcance para incluir a más empresas medianas y grandes, lo que implica que muchas organizaciones que antes no estaban reguladas ahora deberán cumplir con las nuevas obligaciones de ciberseguridad. Según recoge el INCIBE en su web, de cara a valorar si una empresa es considerada como microempresa, pequeña, mediana o gran empresa, se debe atender a lo expuesto en la Recomendación 2003/361/CE que cita la NIS2, donde define dichas categorías de la siguiente manera:

• Microempresa: empresa que ocupa a menos de 10 personas y cuyo volumen de negocios anual o cuyo balance general anual no supera los 2 millones de euros.
• Pequeña empresa: empresa que ocupa a menos de 50 personas y cuyo volumen de negocios anual o cuyo balance general anual no supera los 10 millones de euros.
• Mediana empresa: empresa que ocupa entre 50 y 250 personas y cuyo volumen de negocios anual no excede de 50 millones de euros o cuyo balance general anual no excede de 43 millones de euros.
• Gran empresa: empresa que ocupa más de 250 personas y cuyo volumen de negocios anual o cuyo balance general anual sea superior a 43 millones de euros.

Es importante destacar que, aunque la citada recomendación no reconozca como pyme a una empresa cuando el 25% o más de su capital o de sus derechos de voto están controlados, directa o indirectamente, por uno o más organismos públicos o colectividades públicas, ello no resultará de aplicación a efectos de la presente directiva.

Objetivos de la Directiva NIS2

Los objetivos principales de la Directiva NIS2 son los siguientes:

• Mejorar la ciberseguridad en la UE: Estableciendo normas comunes para todos los Estados miembros y armonizando los requisitos de seguridad en sectores clave.
• Fortalecer la resiliencia de las infraestructuras críticas: Garantizando que los operadores de servicios esenciales y proveedores digitales implementen medidas de seguridad adecuadas para proteger sus redes y sistemas.
• Reforzar la cooperación entre Estados miembros: La Directiva busca mejorar el intercambio de información y la cooperación en materia de ciberseguridad entre los países de la UE, estableciendo mecanismos para responder de manera más eficaz a incidentes cibernéticos como establecer una buena política centrada en la ciberhigiene.
• Imponer sanciones más estrictas: NIS2 introduce medidas más severas para aquellos que no cumplan con las obligaciones, lo que puede incluir sanciones económicas significativas.

Facultades de los Estados miembros:

1. Apercibir por incumplimiento.
2. Adoptar instrucciones vinculantes o requerimientos de subsanación.
3. Ordenar el cese de una conducta que infrinja la directiva.
4. Ordenar que se garanticen las medidas de gestión de riesgos o las obligaciones de información de manera y en un plazo determinados.
5. Ordenar que se informe a las personas físicas o jurídicas a las que presten servicios o realicen actividades que se vean potencialmente afectadas por una ciberamenaza significativa.
6. Ordenar que se apliquen las recomendaciones formuladas como resultado de una auditoría de seguridad en un plazo razonable.
7. Designar a un responsable de supervisión con tareas bien definidas durante un periodo de tiempo determinado para supervisar el cumplimiento.
8. Ordenar hacer públicos los aspectos de incumplimiento.
9. Imponer multas administrativas.
10. Puede suspenderse la certificación o autorización de una entidad esencial relativa al servicio, si no se cumple el plazo para tomar medidas.
11. Prohibir temporalmente a los responsables de la gestión a nivel de director ejecutivo o representante legal el ejercicio de funciones directivas (aplicable únicamente a las entidades esenciales, no a las entidades importantes).

Multas y sanciones contempladas en la Directiva NIS2 en caso de incumplimiento:

• Un máximo de, al menos, 10.000.000 euros o hasta el 2% del volumen de negocios total anual a escala mundial de la empresa a la que pertenezca la entidad esencial en el ejercicio precedente, optándose por la de mayor cuantía.
• Un máximo de, al menos, 7.000.000 euros o el 1,4% del volumen de negocios total anual a nivel mundial de la empresa a la que pertenece la entidad importante en el ejercicio precedente, optándose por la de mayor cuantía.

Entendemos, por tanto, que La Directiva NIS2 es un paso importante para mejorar la ciberseguridad en Europa, adaptándose a las nuevas amenazas y asegurando que los sectores esenciales y proveedores digitales sean más resistentes ante ataques cibernéticos. Si bien la ampliación de su alcance y la imposición de sanciones más estrictas son medidas positivas, el reto para muchas organizaciones será cumplir con los requisitos de manera efectiva sin generar sobrecarga en términos de costos y complejidad.

Esta directiva no solo beneficia a las empresas afectadas, sino a toda la sociedad, garantizando que los servicios críticos, como la energía, la salud y las comunicaciones, estén mejor protegidos en un entorno digital cada vez más incierto.