La Directiva NIS2: Clave para la Resiliencia y Ciberseguridad en la Unión Europea

De la Directiva NIS original a la NIS2: ¿Por qué era necesaria una actualización?

La Directiva NIS (Directiva 2016/1148), aprobada en 2016, fue el primer intento legislativo a nivel de la UE para fortalecer la ciberseguridad de las infraestructuras críticas. Introdujo requisitos de seguridad y notificación de incidentes para operadores de servicios esenciales (OSE) en sectores como la energía, el transporte, la banca, la infraestructura del mercado financiero, la sanidad, el suministro y distribución de agua potable, y la infraestructura digital (puntos de intercambio de internet, DNS, TLDs). También cubría a los proveedores de servicios digitales (PSD) como motores de búsqueda, servicios en la nube y mercados en línea.

Sin embargo, la implementación de la NIS original reveló varias limitaciones y desafíos:

• Aplicación inconsistente: Los Estados Miembros interpretaron y aplicaron la directiva de manera diferente, creando fragmentación en el mercado único digital.
• Ámbito limitado: Quedaron fuera sectores importantes que son cada vez más dependientes de lo digital y susceptibles a ciberataques (ej. proveedores de servicios digitales más pequeños, gestión de residuos, fabricación de ciertos productos críticos).
• Seguridad insuficiente: Los requisitos de seguridad eran a veces vagos y no lo suficientemente prescriptivos para abordar el panorama de amenazas en rápida evolución.
• Notificación de incidentes poco armonizada: Las obligaciones de notificación y los umbrales variaban entre países.
• Seguridad de la cadena de suministro descuidada: La interconexión a través de proveedores no fue abordada adecuadamente.
• Supervisión y sanciones débiles: La aplicación de la ley y las sanciones no siempre fueron efectivas.

Para superar estas deficiencias y responder al aumento de los ciberataques (incluido el uso de ransomware a escala industrial y el espionaje patrocinado por estados), la Comisión Europea propuso una revisión, dando lugar a la **Directiva NIS2**, que entró en vigor en enero de 2023 y debe ser transpuesta por los Estados Miembros antes del 18 de octubre de 2024.

El objetivo central de la Directiva NIS2

El objetivo principal de la **Directiva NIS2** es lograr un nivel común y elevado de ciberseguridad en toda la Unión Europea para mejorar la resiliencia de las entidades críticas y la respuesta a incidentes. Busca:

• Ampliar significativamente el ámbito de aplicación para incluir más sectores y entidades.
• Fortalecer y armonizar los requisitos de seguridad para las entidades cubiertas.
• Mejorar y agilizar las obligaciones de notificación de incidentes.
• Abordar la seguridad de la cadena de suministro.
• Establecer mecanismos de supervisión y aplicación más estrictos.
• Promover la cooperación y el intercambio de información entre Estados Miembros.

Sectores de alta criticidad (Esenciales) y otros sectores críticos (Importantes)

La **Directiva NIS2** clasifica los sectores en dos categorías principales, lo que determina el régimen de supervisión:

Esta clasificación ampliada asegura que sectores que son cada vez más interdependientes y vitales para la economía y la sociedad estén sujetos a requisitos de ciberseguridad armonizados bajo la **Directiva NIS2**.

Criterios de tamaño: Medianas y Grandes Empresas

La **Directiva NIS2** se aplica generalmente a entidades medianas y grandes dentro de los sectores cubiertos. Las definiciones se basan en las mismas que para las PYMEs de la UE:

• Mediana empresa: Entre 50 y 249 empleados Y un volumen de negocios anual no superior a 50 millones de euros O un balance general anual no superior a 43 millones de euros.
• Gran empresa: 250 o más empleados O un volumen de negocios anual superior a 50 millones de euros Y un balance general anual superior a 43 millones de euros.

Sin embargo, hay excepciones al criterio de tamaño, lo que significa que incluso algunas entidades pequeñas podrían estar cubiertas por la **Directiva NIS2** si:

• Proporcionan servicios críticos con un impacto significativo en la seguridad nacional, la seguridad pública o la salud pública.
• Son los únicos proveedores de un servicio esencial en un Estado Miembro.
• Su interrupción podría tener un impacto sistémico.
• Operan en sectores específicos (como proveedores de DNS o registros TLD).

Esto significa que miles de empresas adicionales en la UE que antes no estaban reguladas por la Directiva NIS original ahora deberán cumplir con las obligaciones de la **Directiva NIS2**, lo que requiere una evaluación cuidadosa por parte de cada organización para determinar si está dentro del alcance.

Excepciones y situaciones especiales

La **Directiva NIS2** contempla algunas excepciones. Por ejemplo, las micro y pequeñas empresas (menos de 50 empleados Y volumen de negocios/balance por debajo de los umbrales) generalmente están excluidas, a menos que caigan bajo una de las excepciones mencionadas anteriormente debido a su criticidad o singularidad. Las entidades que ya están cubiertas por regulaciones de seguridad sectoriales equivalentes o más estrictas (como DORA para el sector financiero o la futura Directiva de Resiliencia Operacional Digital) pueden tener algunas de sus obligaciones de la **Directiva NIS2** cubiertas por esa otra legislación, aunque esto requiere un análisis detallado.

Medidas de Gestión de Riesgos de Ciberseguridad

La **Directiva NIS2** adopta un enfoque basado en la gestión de riesgos. Las entidades deben tomar medidas técnicas, operativas y organizativas «adecuadas y proporcionadas» para gestionar los riesgos para la seguridad de sus sistemas de red y de información. Las medidas mínimas obligatorias especificadas en la directiva incluyen (pero no se limitan a):

• Políticas sobre análisis de riesgos y seguridad de los sistemas de información.
• Gestión de incidentes (prevención, detección, respuesta y recuperación).
• Continuidad del negocio y gestión de crisis (copias de seguridad, planes de recuperación de desastres).
• Seguridad de la cadena de suministro (abordando riesgos relacionados con proveedores y prestadores de servicios).
• Seguridad en la adquisición, desarrollo y mantenimiento de redes y sistemas de información.
• Políticas y procedimientos para evaluar la eficacia de las medidas de gestión de riesgos.
• Prácticas básicas de ciberhigiene (ej. gestión de parches, configuraciones seguras).
• Uso de criptografía y, en su caso, cifrado.
• Seguridad del personal, políticas de control de acceso y gestión de activos.
• Uso de soluciones de autenticación multifactor (MFA) o medidas similares.

La directiva también enfatiza la responsabilidad de la alta dirección de la organización en la aprobación de las medidas de ciberseguridad y en la supervisión de su implementación. En algunos casos, los miembros de la alta dirección podrían ser considerados responsables por incumplimientos.

Obligaciones de Notificación de Incidentes

La **Directiva NIS2** establece requisitos de notificación de incidentes más precisos y exigentes en comparación con la NIS original. Las entidades cubiertas deben notificar a su autoridad nacional competente o al CSIRT (Equipo de Respuesta a Incidentes de Seguridad Informática) los incidentes de seguridad que tengan un «impacto significativo» en la prestación de sus servicios.

El proceso de notificación sigue un cronograma en varias etapas:

1. Alerta temprana (en 24 horas): Notificación inicial dentro de las 24 horas posteriores a tener conocimiento de un incidente significativo. El objetivo es informar rápidamente a las autoridades relevantes para permitirles tomar medidas (ej. alertar a otras entidades del sector).
2. Notificación de incidente (en 72 horas): Notificación más detallada dentro de las 72 horas posteriores a tener conocimiento, actualizando la información inicial y proporcionando una evaluación inicial del incidente.
3. Informe final: Envío de un informe más completo a más tardar un mes después de la notificación de incidente, detallando la naturaleza, el impacto y las medidas de respuesta y mitigación implementadas.

Además, las entidades pueden estar obligadas a informar a sus clientes o usuarios sobre el incidente si existe un riesgo de que afecte a la prestación de sus servicios. Las obligaciones de notificación buscan no solo ayudar a la respuesta a nivel nacional y de la UE, sino también aumentar la transparencia y el intercambio de información sobre amenazas.

Seguridad de la Cadena de Suministro

Reconociendo que los ciberataques a menudo tienen éxito explotando vulnerabilidades en proveedores de servicios o productos, la **Directiva NIS2** pone un fuerte énfasis en la seguridad de la cadena de suministro. Las entidades cubiertas deben evaluar y tener en cuenta los riesgos de ciberseguridad asociados a sus proveedores y prestadores de servicios directos.

• Esto implica realizar una debida diligencia sobre la postura de ciberseguridad de sus proveedores.
• Incluir requisitos de seguridad en los contratos con terceros.
• Abordar la seguridad de los productos y servicios adquiridos.

La **Directiva NIS2** permite a la Comisión Europea, en ciertos casos, identificar sectores o tipos de servicios de la cadena de suministro que están sujetos a medidas de seguridad más estrictas a nivel de la UE, por considerarse especialmente críticos (como ciertos proveedores de servicios en la nube, por ejemplo). Esto aborda directamente vulnerabilidades sistémicas expuestas en ataques recientes que afectaron a múltiples organizaciones a través de un proveedor común (como vimos con la Amenaza Ransomware Clop y MOVEit).

Supervisión del cumplimiento y sanciones

La **Directiva NIS2** fortalece significativamente los mecanismos de supervisión y aplicación. Las autoridades nacionales competentes tendrán mayores poderes para supervisar el cumplimiento, que incluyen:

• Realizar inspecciones y auditorías (regulares para entidades esenciales, o bajo demanda para entidades importantes).
• Solicitar información sobre medidas de seguridad y pruebas de su implementación.
• Realizar evaluaciones de seguridad.

En caso de incumplimiento de los requisitos de gestión de riesgos o de notificación de incidentes, la **Directiva NIS2** establece sanciones más estrictas y armonizadas en toda la UE. Las multas máximas pueden ser considerablemente elevadas:

• Para entidades esenciales: hasta 10.000.000 EUR o el 2% del volumen de negocios mundial anual de la empresa, lo que sea mayor.
• Para entidades importantes: hasta 7.000.000 EUR o el 1,4% del volumen de negocios mundial anual de la empresa, lo que sea mayor.

Estas sanciones demuestran que la **Directiva NIS2** no es solo una recomendación, sino una ley con dientes, lo que subraya la necesidad de que las organizaciones se tomen muy en serio el cumplimiento.

Más allá del cumplimiento legal: Continuidad del Negocio y Reputación

Implementar las medidas de gestión de riesgos de la **Directiva NIS2** fortalece intrínsecamente la postura de ciberseguridad de una organización. Una mejor seguridad reduce la probabilidad y el impacto de incidentes, lo que a su vez protege la capacidad de la empresa para continuar operando (continuidad del negocio). Estar bien preparado significa que, si ocurre un incidente, la organización puede detectarlo más rápido, contenerlo de manera más efectiva y recuperarse con menor disrupción y pérdida de datos.

Además, en la era de la transparencia y la concienciación sobre la protección de datos, la reputación de una empresa está estrechamente ligada a su capacidad para proteger la información y mantener la confianza de sus clientes y socios. Un incidente de ciberseguridad mal gestionado o que expone datos sensibles puede dañar irreparablemente la marca y la confianza pública. Cumplir con la **Directiva NIS2** y comunicar proactivamente las medidas de seguridad puede, por el contrario, mejorar la reputación y generar confianza.

Contribución a la ciberseguridad colectiva de la UE

La **Directiva NIS2** opera bajo el principio de que la seguridad de la cadena es tan fuerte como su eslabón más débil. Al mejorar la postura de seguridad de las entidades individuales cubiertas, la directiva fortalece la seguridad colectiva de los sectores y la infraestructura crítica de la UE en su conjunto. La mejor notificación y el intercambio de información facilitan que las autoridades y otras entidades relevantes estén al tanto de nuevas amenazas y vulnerabilidades, permitiendo una respuesta coordinada a nivel nacional y de la Unión. Cumplir con la **Directiva NIS2** no es solo una responsabilidad individual, sino una contribución activa a la seguridad del mercado único digital.

Complejidad y diversidad de los sectores afectados

El amplio abanico de sectores cubiertos por la **Directiva NIS2**, desde la energía y el transporte hasta la fabricación de alimentos y la gestión de residuos, significa que las necesidades y los desafíos de seguridad varían enormemente. Una medida de seguridad «adecuada y proporcionada» para un operador energético puede ser muy diferente para un fabricante mediano. La directiva proporciona un marco general, pero la interpretación y aplicación de los requisitos en contextos específicos pueden ser complejas.

Recursos técnicos y humanos

Muchas de las nuevas entidades cubiertas, especialmente las medianas empresas en sectores que antes no estaban regulados, pueden carecer de los recursos financieros, técnicos y humanos necesarios para implementar los requisitos de la **Directiva NIS2**. Construir un SGSI robusto, implementar MFA a gran escala, realizar análisis de riesgos exhaustivos o establecer capacidades de monitoreo y respuesta a incidentes puede ser una tarea ingente para organizaciones sin equipos de ciberseguridad dedicados o presupuestos limitados.

Gestión de la cadena de suministro global

La obligación de evaluar y gestionar los riesgos de la cadena de suministro puede ser particularmente compleja para empresas con cadenas de suministro extensas y globales. Obtener visibilidad sobre las prácticas de ciberseguridad de cientos o miles de proveedores, especialmente los más pequeños, es un desafío logístico y técnico considerable. La **Directiva NIS2** exige un nivel de diligencia que requerirá nuevos procesos y herramientas para muchas organizaciones.

Pasos clave para organizaciones afectadas

1. Determinar si estás cubierto: Realizar una evaluación interna para determinar si la organización cae dentro del ámbito de aplicación de la **Directiva NIS2** según su sector y tamaño.
2. Evaluar el estado actual de ciberseguridad: Realizar una evaluación de la postura de seguridad actual de la organización frente a los requisitos de NIS2. Identificar brechas en las medidas de gestión de riesgos, capacidades de notificación y procesos de gestión de la cadena de suministro.
3. Desarrollar un plan de acción: Basado en la evaluación de brechas, crear un plan detallado para implementar o mejorar las medidas necesarias para cumplir con todos los requisitos de la **Directiva NIS2**. Priorizar las acciones en función del riesgo y el plazo.
4. Implementar las medidas de gestión de riesgos: Poner en práctica las medidas técnicas y organizativas requeridas, como la mejora de políticas, la implementación de MFA, la revisión de la seguridad de la red, el fortalecimiento de las copias de seguridad, etc.
5. Establecer procesos de notificación de incidentes: Definir claramente los procedimientos internos para detectar incidentes, evaluarlos según los criterios de «impacto significativo» de la **Directiva NIS2**, y notificar a las autoridades nacionales en los plazos establecidos (24h, 72h, 1 mes). Capacitar al personal relevante en estos procesos.
6. Abordar la seguridad de la cadena de suministro: Desarrollar o mejorar procesos para evaluar y gestionar los riesgos de ciberseguridad asociados a los proveedores y prestadores de servicios críticos.
7. Capacitar al personal: Proporcionar formación adecuada sobre ciberseguridad y los requisitos de la **Directiva NIS2** a todo el personal, especialmente a aquellos con responsabilidades en TI, seguridad y gestión.
8. Documentar todo: Mantener registros detallados de las medidas implementadas, los análisis de riesgos realizados, los incidentes (incluso si no son notificables bajo NIS2) y los procedimientos.
9. Monitorizar y revisar: Establecer un proceso continuo para monitorizar la efectividad de las medidas de seguridad, revisar regularmente la evaluación de riesgos y actualizar los procedimientos según sea necesario.

El papel de los expertos y servicios de apoyo (ej. BSI)

Dada la complejidad de la **Directiva NIS2**, muchas organizaciones, especialmente aquellas sin experiencia interna en ciberseguridad regulatoria, pueden beneficiarse enormemente del apoyo externo. Empresas y consultoras especializadas en ciberseguridad y estándares como BSI (British Standards Institution) o INCIBE (Instituto Nacional de Ciberseguridad de España) (para recursos en España) pueden ofrecer servicios valiosos, incluyendo:

• Evaluaciones de alcance y gap analysis frente a los requisitos de la **Directiva NIS2**.
• Consultoría en la implementación de medidas técnicas y organizativas.
• Asistencia en el desarrollo de planes de respuesta a incidentes y procesos de notificación.
• Servicios de pruebas de seguridad (ej. penetration testing, escaneo de vulnerabilidades) para verificar la efectividad de las medidas.
• Capacitación especializada para personal y alta dirección.
• Servicios relacionados con estándares como ISO 27001 que facilitan el cumplimiento de NIS2.

El apoyo de expertos puede acelerar el proceso de cumplimiento, asegurar que se abordan todos los requisitos de la **Directiva NIS2** de manera efectiva y proporcionar la confianza necesaria para enfrentar las auditorías y supervisiones.