Tras aprobarse el pasado año la Directiva NIS2, que impacta especialmente a los proveedores de infraestructuras críticas, entre otros, este año, concretamente en enero de 2023 dio comienzo el periodo que tienen los Estados miembros (en adelante EEMM), para trasponer esta Directiva a su marco normativo. Así, hoy nos encontramos en un momento en el que los legisladores nacionales deben trabajar en la actualización de esta norma para llegar al 17 de octubre de 2024 con la trasposición de esta Directiva finalizada.
En España, esto supondrá dejar atrás el actual Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, que en su momento sirvió para trasponer la Directiva NIS1 y comenzar a trabajar con el nuevo marco normativo.
Durante este tiempo, es importante que las organizaciones obligadas al cumplimiento de esta regulación comiencen a abordar los cambios necesarios para llegar a octubre de 2024 en un estado que garantice el cumplimiento de los principales requisitos.
La primera cuestión que surge es si impactará o no en nuestro negocio y, aunque en algunos casos dar respuesta puede ser difícil, es cierto que hay algunas preguntas que una organización puede hacerse para llegar a una conclusión:
¿Presta nuestra empresa un servicio crítico o función esencial directamente a clientes finales o como proveedor clave que pueda afectar a la seguridad y estabilidad económica? ¿Opera en un sector cubierto por la Directiva NIS2, como los que se enumeran en sus Anexos I y II? ¿Nuestra empresa tiene su sede fuera de la UE, pero ofrece servicios críticos en la UE? Si es así, esta Directiva también le será aplicable.
Bajo nuestro entendimiento, el foco para saber si una entidad está obligada a cumplir con la NIS2 se encuentra en su artículo 2 sobre sujetos obligados, y no tanto en la distinción de una entidad entre esencial e importante, que no supondrá diferencia en cuanto a medidas u obligaciones a cumplir, sino solamente una distinción en cuanto al nivel de supervisión por parte de las autoridades. Según dicho artículo, los sujetos obligados son:
Tal vez la respuesta a la clasificación dentro de los sectores de los Anexos I y II sea uno de los aspectos que genera más duda o preocupación y, en este caso, no existe una respuesta general y única, sino que debe analizarse según las particularidades de cada organización.
En este sentido, es preciso realizar un análisis de diferentes normativas especiales y sectoriales para determinar si una organización puede enmarcarse dentro de los sectores, subsectores y tipo de entidad que se mencionan en los Anexos de la Directiva.
Si bien es cierto que la Directiva NIS2 introduce diferentes novedades con respecto a su predecesora, hay algunos aspectos que se pueden considerar más importantes y en los que es recomendable que las organizaciones pongan foco.
Las empresas deben adoptar medidas adecuadas y proporcionadas basadas en una gestión de riesgos comprensible. Estas medidas deben basarse en un enfoque de gestión holístico y orientado a las amenazas con el fin de prevenir los incidentes de seguridad o minimizar su impacto.
El articulado de la Directiva NIS2 exige a los EEMM que garanticen que los órganos de dirección de las organizaciones aprueben las medidas de gestión de los riesgos de ciberseguridad adoptadas por dichos órganos para cumplir lo dispuesto en el artículo 21, supervisen la aplicación de dichas medidas y puedan llegar a ser incluso responsables de las infracciones previstas en dicho artículo.
Además, los órganos de dirección están obligados a mantenerse actualizados en cuanto a formación se refiere, y se les anima a ofrecer una formación a sus empleados de forma periódica. De este modo, los empleados adquieren conocimientos y aptitudes suficientes que les permiten identificar los riesgos y evaluar prácticas de gestión de riesgos de ciberseguridad y su impacto en los servicios prestados por la organización.
Las organizaciones esenciales e importantes (nuevas nomenclaturas de la Directiva) están obligadas a adoptar medidas técnicas, operativas y organizativas para gestionar los riesgos de seguridad de las redes y sistemas de información.
La proporcionalidad se basa en la exposición al riesgo de la organización, su tamaño y la probabilidad y gravedad de posibles incidentes, incluido el impacto económico y social. Las organizaciones deben adoptar un enfoque para estar preparadas frente a todo el espectro de incidentes y emergencias y ser capaces de proteger los sistemas de red e información y el entorno físico de dichos sistemas.
Dentro de estas medidas, se debe prestar especial atención a la cadena de suministro ya que, tanto la Directiva NIS2 como otras normas en potencia, como la propuesta de Ley de Ciberresiliencia, hacen hincapié en los riesgos provenientes de la cadena de suministro de una entidad y su relación con proveedores. De esta forma, sitúa a los proveedores en una posición estratégica de cara a la gestión de los riesgos de ciberseguridad.
Las entidades esenciales e importantes deben evaluar y tener en cuenta la calidad general y resiliencia de los productos y los servicios, las medidas para la gestión de riesgos de ciberseguridad integradas en ellos y las prácticas en materia de ciberseguridad de sus proveedores y prestadores de servicios, incluidos sus procedimientos de desarrollo seguro.
Deberán incorporar medidas para la gestión de riesgos de ciberseguridad en los acuerdos contractuales con sus proveedores y prestadores de servicios directos.
Mediante la supervisión de los EEMM, las organizaciones están obligadas a notificar al CSIRT o, en su caso a la autoridad competente en caso de un impacto significativo en la prestación de sus servicios.
En caso de un incidente significativo, las organizaciones deben informar a los destinatarios de los servicios de la entidad que se puedan ver afectados, las medidas o soluciones que pueden aplicar para responder a la amenaza, y en ocasiones la propia amenaza.
Con unos plazos acotados, y la tipología de información a notificar tasada en la Directiva, las organizaciones también deben tener en consideración que el trabajo colaborativo entre entidades en la gestión de incidentes se considera fundamental por parte de los legisladores europeos.
La Directiva introduce una serie de requisitos en cuanto a la certificación de servicios, sistemas y/o productos bajo el paraguas de esquemas europeos de certificación, acordes a la normativa europea, sean o no de entidades esenciales.
Aunque en la Directiva se incluyen diferentes requisitos de cumplimiento ya aterrizados, pero también hay otros que han quedado en manos de los EEMM, y que deberán ser regulados por estos en la trasposición de esta Directiva antes de octubre del 24. Algunos de los aspectos pendientes de clarificación por parte de los EEMM más importantes son:
En cualquier caso, son muchos los requisitos que las organizaciones ya pueden, y que, en base a nuestra experiencia con este tipo de normativas, deben empezar a revisar e implantar en su funcionamiento, para que los modelos de cumplimiento sean consistentes y que en el momento en el que la Directiva sea totalmente aplicable podamos tener confianza en nuestro nivel de adecuación.
Deja un comentario