Ciberseguridad y privacidad digital

La UE pone el foco en la ciberseguridad con la Directiva NIS 2.0

Isabel Sánchez Esparza
Consultora Senior de Technology Risk de KPMG en España
16 noviembre, 2022
5 min

El pasado 10 de noviembre de 2022, el Parlamento Europeo aprobó formalmente la actualización de la Directiva sobre Ciberseguridad (conocida como “NIS 2.0”, por las siglas de Network and Information Security) que afecta especialmente a los proveedores de infraestructuras críticas, entre otros. En este artículo analizaremos los orígenes de toda esta labor legislativa europea, así como los hitos fundamentales alcanzados con esta reciente aprobación.

¿De dónde partimos? Directiva NIS 1.0

La Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (conocida como “Directiva NIS”), se promulgaba en julio de 2016 con el propósito de establecer medidas que garantizaran un elevado nivel común de seguridad en las redes y en los sistemas de información en la Unión Europea, y así asegurar un mejor funcionamiento del mercado interior comunitario.

Ejemplo de ello es la adopción de una estrategia nacional, la creación de un Grupo de cooperación orientado a facilitar y hacer viable la tarea común de cada uno de los Estados miembros, así como la creación de una red de equipos eficaz que permitiese actuar contra incidentes de seguridad (la denominada “Red CSIRT”, siglas de Computer Security Incident Response Teams).

Todo ello de cara a agilizar y acelerar la cooperación, y aumentar la seguridad, así como la percepción que los Estados miembros y la ciudadanía tenían respecto a dicho nivel de seguridad. Dicho en otras palabras, la finalidad de esta Directiva era reducir el impacto en la sociedad ante un incidente contra la seguridad de las redes y sistemas de información en un actor económico fundamental para el país, a la vez que proporcionar una resolución temprana frente a tal incidente.

La finalidad de esta Directiva era reducir el impacto en la sociedad ante un incidente contra la seguridad de las redes y sistemas de información en un actor económico fundamental para el país

La Directiva NIS establecía la obligación de fijar unos requisitos respecto a la seguridad y notificación de incidentes en los operadores de servicios esenciales (OSE) y proveedores de servicios digitales (PSD), y el mandato de designar a autoridades nacionales competentes en esta materia. Este texto europeo daba amplio margen de acción a los Estados miembros y, en el caso de España, fue transpuesta por el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.

¿Su objetivo? Regular y proporcionar un refuerzo a la seguridad de los sistemas y redes de información, estableciendo un sistema común y coordinado de notificación de incidentes, así como asentando un marco institucional para coordinar a autoridades judiciales y resto de órganos garantes del cumplimiento de la Ley, a su vez, en cooperación con sus homólogos europeos. Años más tarde, este Real Decreto-ley fue actualizado por el Real Decreto 43/2021, el 26 de enero de 2021.

Año 2020: Nueva estrategia de ciberseguridad de la UE

Teniendo en cuenta estos antecedentes, la Comisión y el Alto Representante de la Unión para Asuntos Exteriores y Política de Seguridad presentaron en Bruselas, el 16 de diciembre de 2020, la nueva Estrategia de Ciberseguridad de la UE. En ella se pretendía reforzar la resiliencia colectiva europea contra las ciber amenazas, así como ayudar a todos los ciudadanos y empresas para que pudieran beneficiarse de unos servicios y herramientas digitales de confianza.

Con esta nueva Estrategia de Ciberseguridad, además, se permitía a la UE el refuerzo de su liderazgo en el campo de las normas internacionales del ciberespacio y su potenciación para cooperar con otros socios a nivel mundial. Con ello, se promueve un ciberespacio estable, seguro, abierto y global, que respeta los valores democráticos, los derechos humanos y libertades fundamentales.

Se permitía a la UE el refuerzo de su liderazgo en el campo de las normas internacionales del ciberespacio y su potenciación para cooperar con otros socios a nivel mundial

Sobre la base de estos logros alcanzados durante los últimos años, y bajo esta línea de acción, la Comisión propuso reformar las normas sobre seguridad de las redes y sistemas de información. Un reto que se materializó a través de una Directiva renovada (NIS 20) que aumentase el nivel de ciber resiliencia en los sectores críticos, tanto públicos como privados. Como puede ser en hospitales, redes energéticas, ferroviarias, centros de datos, administraciones públicas, laboratorios para la investigación y producción de medicamentos críticos, además de otras infraestructuras críticas, que deben permanecer intactas frente a un panorama cambiante y con ciber amenazas cada vez más complejas.

Novedades de la Directiva NIS 2.0

Debido al aumento en la interconexión y digitalización, los riesgos de ciberseguridad se encuentran en evolución constante y las amenazas en el ciberespacio son cada vez más sofisticadas. Para hacer frente a ello, la Directiva NIS 2.0 trae consigo las siguientes novedades principales:

  • Ampliación del concepto de “entidades esenciales”: así, la actualización introduce nuevos sectores hasta la fecha no considerados como críticos.
  • La incorporación de los “sectores importantes”, un nuevo concepto que aglutina la gestión de residuos, el sector aeroespacial, los proveedores y fabricantes de servicios digitales, el sector alimentario (considerando desde su producción, transformación y distribución), servicios postales y aquellos dedicados a la generación y distribución de sustancias y productos químicos.
  • Introducción de nuevos requisitos de seguridad en las organizaciones, inculcando la necesaria concienciación sobre la privacidad desde el diseño y por defecto, obligación de cifrado, requisitos en cuanto a la respuesta a incidentes, la certificación de servicios, sistemas y/o productos bajo el paraguas de esquemas europeos de certificación, acordes a la normativa europea.
  • Armonización normativa entre los Estados Miembros: así, la Agencia de la Unión Europea para la Ciberseguridad (ENISA) se erige como responsable de la difusión de nuevas normas para la prevención, detección y respuesta a ciberataques entre los países miembros y sus autoridades competentes en la materia.
  • Integración plena con normativa sectorial, como puede ser la Directiva para la Resiliencia Operativa Digital para el sector financiero (DORA) y la Directiva de Resiliencia de Entidades Críticas (CER).
  • Mayor cooperación entre las autoridades europeas: a tal fin, se establece la Red Europea de Organización de Enlace de Crisis Cibernéticas (EU-CYCLONe), para la coordinación en la gestión de ciberataques de gran alcance.
  • Refuerzo de las exigencias de seguridad en proveedores y la cadena de suministro: para ello, la Directiva NIS 2.0 permite a las organizaciones exigir a sus proveedores el cumplimiento de la normativa, en el supuesto de ser consideradas como operadores críticos.
  • Responsabilidad de la dirección de la empresa: gracias a esta actualización, la responsabilidad del cumplimiento de las medidas de ciberseguridad recae en los propios órganos directivos de la empresa.
  • Promoción de la colaboración público-privada: así, la nueva Directiva propone crear las Public-Private-Partnerships (“PPPs”, por sus siglas en inglés) especializadas en ciberseguridad, de cara a desarrollar estrategias nacionales de ciberseguridad en cada uno de los Estados Miembros.

¿Cuáles son los próximos pasos?

Gracias a esta reciente aprobación por parte del Parlamento Europeo, se consigue aterrizar toda esta estrategia de acción y esfuerzos acometidos en un texto europeo que simboliza y asegura la cooperación y coordinación en el seno de la Unión Europea contra las ciber amenazas cada vez más frecuentes.

Las organizaciones, a nivel interno, deben considerar desde este mismo momento la creación de departamentos o procesos internos orientados a dar cumplimiento a los requisitos recogidos en la Directiva NIS 2.0

Con relación al impacto que esta actualización legislativa tendrá sobre las empresas, el mismo dependerá de cómo operen dichas empresas en el mercado, así como de la posibilidad de que estén o no incluidas dentro de la cadena de suministro de algún servicio esencial. Las organizaciones, a nivel interno, deben considerar desde este mismo momento la creación de departamentos o procesos internos orientados a dar cumplimiento a los requisitos recogidos en la Directiva NIS 2.0.

Entre otros aspectos ya comentados, la Directiva NIS 2.0 exige a las organizaciones la revisión de proveedores, lo cual implica una reformulación de sus modelos de cumplimiento. Como consecuencia de todo lo anterior, las empresas deben continuar reclutando perfiles con conocimientos digitales adecuados.

Una vez que la nueva Directiva sea aprobada por el Consejo, el texto entrará en vigor a los veinte días después de su publicación en el Diario Oficial de la Unión Europea (DOUE). Los estados miembro contarán, a partir de entonces, con veintiún meses para transponer el nuevo texto europeo a sus propios ordenamientos jurídicos.

¿Necesitas asesoramiento para blindar tu ciberseguridad?
Te ayudamos

Artículos relacionados