La nueva directiva NIS2 sobre ciberseguridad

Para que tanto empresas como particulares convivan en un entorno de ciberseguridad sólido, la directiva NIS 2 establece un marco robusto que consiga proteger a las organizaciones europeas frente a las crecientes amenazas cibernéticas. Se trata de un paso clave para promover la ciberresiliencia y aumentar la confianza de los clientes en las diferentes compañías de los sectores de actividad más relevantes para la sociedad. Esta búsqueda de la proactividad en materia de ciberseguridad se conseguirá a través de la implantación progresiva de estas normativas que exigen, entre otras cosas, un control exhaustivo, una inversión ambiciosa en tecnología y la contratación de personal con formación en amenazas digitales.

Por Directiva NIS2, cuyas siglas corresponden a “Network and Information Security 2” nos referimos a la legislación sobre ciberseguridad aplicable en toda la UE, que impone obligaciones tanto a los Estados miembros como a entidades públicas y privadas. Esta normativa fue adoptada por la Unión Europea en 2022 y no es reciente, ya que funciona como una actualización que pretende seguir mejorando los avances iniciados con la Directiva sobre Seguridad de las Redes y los Sistemas Informáticos (NIS), creada en el año 2016. 

El objetivo principal es crear unos estándares comunes de ciberseguridad en todos los Estados que forman parte de la Unión Europea. De este modo, se puede mejorar la ciberresiliencia de todos los sistemas de información del continente y reducir el riesgo de sufrir ciberataques o, en caso de sufrirse, contar con buenas prácticas que ayuden a recuperar la normalidad de la infraestructura digital lo antes posible. 

Esta evolución pretende, entre otras cosas, ampliar el ámbito de aplicación, con requisitos más estrictos y reforzando las medidas de ejecución. Por ejemplo, en el caso de España, los profesionales cualificados de cada sector de negocio tienen la obligación de supervisar que se cumple esta directiva y deben desarrollar un protocolo sólido de gestión de riesgos.

Plazos de aplicación

Y para comprender su desarrollo en fechas, la Directiva NIS 2 se aprobó en noviembre de 2022 y no fue hasta el 16 de enero de 2023 cuando se produjo su entrada en vigor. Casi dos años después, el 17 de octubre de 2024 se cumplió la fecha límite para la trasposición del ordenamiento jurídico de los Estados Miembros. Y antes del próximo 17 de abril de 2025, los Estados miembros deben crear una lista de entidades esenciales así como de aquellas que prestan servicios de registro de nombres de dominio. Este listado se deberá revisar, al menos, cada 2 años. 

Principales novedades y características

De cara a reforzar los protocolos de seguridad y sobre todo la respuesta ante los ciberataques, la directiva NIS 2 propone:

1. Ampliar el rango de alcance: la normativa incluye un mayor número de sectores y empresas esenciales que deben cumplir con estos requisitos. Entre ellos se encuentran los sectores más relevantes para la economía y el conjunto de la sociedad, como son la banca, los servicios digitales (proveedores de nube, centros de datos, etc) los servicios públicos, la energía, la salud o el transporte. 
2. Creación de estándares de seguridad mucho más estrictos: estos obligan a las organizaciones a implementar medidas técnicas, organizativas y de gestión del riesgo en ciberseguridad con las que protegerse de forma real frente a ciberataques. Estas incluyen los planes de continuidad operativa y recuperación ante amenazas, las evaluaciones periódicas de vulnerabilidades y el uso de tecnología para prevenir y mitigar incidentes. 
3. Notificaciones de incidentes: no se trata solo de informar sobre ataques de ciberseguridad a las autoridades competentes sino de hacerlo en plazos más estrictos, dentro de las primeras 24 horas.
4. Mejora de la cooperación de los Estados miembros: a través de un Grupo de Cooperación Europeo en Ciberseguridad que se coordine en caso de ataques transnacionales. 
5. Sanciones: para fomentar la implantación de la directiva se plantean multas graves para las organizaciones que no cumplan con los requisitos de la misma.  

El nexo entre la directiva NIS 2 y la ciberseguridad es claro ya que esta persigue el fortalecer la ciberresiliencia de las organizaciones, protegiendo sus redes y sistemas de información frente a las cada vez más frecuentes amenazas cibernéticas. 

De lo que se trata es de que las empresas cuenten con esta directiva como un recurso que les exige desarrollar una mejor gestión del riesgo, con evaluaciones periódicas de vulnerabilidades, el desarrollo de políticas de seguridad y el uso de tecnologías que detecten y mitiguen estas amenazas. 

Y que, una vez que estos sistemas estén bien reforzados, se notifiquen los incidentes de seguridad y se cree una base de datos de incidentes que permita identificar patrones e ir mejorando en materia de prevención para al mismo tiempo fomentar la cooperación entre los Estados y las organizaciones afectadas, creando respuestas coordinadas ante estos ataques que contribuyan a un entorno digital más seguro y resiliente. 

El rol de la directiva NIS 2 es especialmente relevante en las empresas porque es la que va a garantizar la implementación de medidas de ciberseguridad sólidas y efectivas que consigan, de forma más eficiente, gestionar las amenazas cibernéticas y los riesgos que estas conllevan. Se trata de un marco que las empresas deben seguir para cumplir con los requisitos legales de seguridad que se imponen desde la UE

El impacto más evidente en el corto plazo para las empresas se traduce en 3 puntos clave: una mayor inversión en ciberseguridad (con mejoras de infraestructuras tecnológicas y contratación de personal especializado), una mejor gestión de riesgos y un refuerzo de la reputación y la confianza de cara a sus consumidores y proveedores.

¿Cómo afecta al funcionamiento de las empresas?

• Cumplimiento normativo: es obligatorio en compañías presentes en sectores críticos para la seguridad como son la banca, la energía, los transportes, las telecomunicaciones…En este tipo de empresas, la ciberseguridad tiene que integrarse de forma clara en sus políticas internas así como reportar su cumplimientos a las autoridades. 
• Gestión de riesgos cibernéticos: desde la identificación de riesgos a su mitigación con medidas preventivas y correctivas y el desarrollo de la ciberresiliencia de la organización.
• Obligación de notificar: estas empresas deben reportar los diferentes incidentes de ciberseguridad sufridos para evitar la propagación de estos ataques en otras compañías. 
• Responsabilidad corporativa: dentro del listado de obligaciones del conjunto de directivos y ejecutivos se encuentra también el garantizar que la empresa cumpla con lo dispuesto en la directiva NIS 2. En caso de incumplimiento, pueden enfrentarse a multas y sanciones legales. 
• Capacitación en ciberseguridad: la directiva NIS 2 persigue que se cree una cultura empresarial en la que sus miembros reciban una formación continua en seguridad digital, que les ayude a identificar riesgos de forma más óptima. 
• Perseguir la innovación y alcanzar la transformación digital: una empresa que cumple al 100% con los requisitos de esta directiva va a contar con una mayor confianza por parte de sus clientes y socios. 
  

Lo más importante a la hora de que cualquier entidad cumpla con la normativa NIS2 es que, al implementar estas medidas, consiguen además reforzar su ciberresiliencia frente a amenazas cibernéticas de todo tipo. Para esto es necesario contar con un enfoque estratégico muy sólido, que persigue la mejor ciberseguridad posible y una gestión óptima de riesgos tecnológicos. El paso a paso para que las organizaciones puedan triunfar en el cumplimiento de esta normativa son:

• Realizar una evolución inicial: el primer paso es identificar que la empresa esté incluida en el alcance de la NIS 2, comprobar si se trata de una entidad pequeña mediana o grande dentro de sectores como los servicios financieros, la energía, el transporte, las telecomunicaciones…Una vez identificado el alcance hay que hacer un análisis de brechas para identificar en qué áreas no se están cumpliendo los requisitos actuales de ciberseguridad. 
• Gestión de riesgos de ciberseguridad: en este punto toca desarrollar un marco de gestión de riesgo que se adapte a las necesidades específicas de la empresa y que pueda cubrir, entre otras cosas, la identificación de activos críticos, la evaluación de amenazas cibernéticas y sobre todo el establecimiento de controles para mitigar todo tipo de riesgos. Entre las medidas de seguridad a implementar está la segmentación de redes o el cifrado de datos. 
• Planes de respuesta a amenazas: se trata de diseñar e implementar soluciones que consigan reducir el impacto de cualquier ataque, restaurar datos y extraer aprendizajes de estos incidentes con los que mejorar de forma progresiva los procesos. Lo que marca la directiva es que estos planes se prueben de forma regular a través de simulacros. 
• Notificar incidentes y ataques: este punto comprende la designación de un equipo de gestión de incidentes y la creación de procesos internos muy bien definidos que detecten, evalúen y notifiquen incidentes significativos. Un aviso inicial a las autoridades competentes dentro de las primeras 24 horas y pasadas 72 horas, la creación de un informe completo. 
• Capacitación y concienciación: aquí entra en juego la formación continua de los equipos y directivos, con programas que fomenten la cultura de ciberseguridad.
• Asegurar la seguridad en toda la cadena de suministro: no solo debe ser competente la empresa en materia de ciberseguridad, también debe verificar que sus proveedores y socios cumplan con los estándares. Y esto se hace a través de auditorías de seguridad e incluyendo cláusulas de seguridad en los contratos. 
• Gobernanza y responsabilidad corporativa: se trata de establecer una estructura de gobernanza en ciberseguridad en la que cada rol y responsabilidad interna esté perfectamente definido. Esto se consigue chequeando que cada miembro de la compañía comprende los riesgos cibernéticos a los que se enfrentan y creando registros de todas las políticas, evaluaciones y acciones de ciberseguridad. 
• Actualización continua: además de los sistemas de monitoreo de redes y sistemas de información, se deben revisar y actualizar constantemente las políticas y medidas de seguridad para comprender nuevas amenazas, cambios en la normativa o resultados de auditorías. 
• Colaboración entre organizaciones y autoridades nacionales: esto se refiere tanto a compartir información sobre amenazas cibernéticas como a colaborar en simulacros y ejercicios de forma conjunta. 
• Invertir en soluciones de ciberseguridad: como pueden ser plataformas SIEM, de gestión de información, sistemas de detección de anomalías basados en IA o tecnologías de autenticación multifactor.