Directiva NIS2: ¿todavía no sabes si aplica en tu organización?

¿Cómo sé si me aplica NIS2?

La primera cuestión que surge es si impactará o no en nuestro negocio y, aunque en algunos casos dar respuesta puede ser difícil, es cierto que hay algunas preguntas que una organización puede hacerse para llegar a una conclusión:

¿Presta nuestra empresa un servicio crítico o función esencial directamente a clientes finales o como proveedor clave que pueda afectar a la seguridad y estabilidad económica? ¿Opera en un sector cubierto por la Directiva NIS2, como los que se enumeran en sus Anexos I y II? ¿Nuestra empresa tiene su sede fuera de la UE, pero ofrece servicios críticos en la UE? Si es así, esta Directiva también le será aplicable.

Bajo nuestro entendimiento, el foco para saber si una entidad está obligada a cumplir con la NIS2 se encuentra en su artículo 2 sobre sujetos obligados, y no tanto en la distinción de una entidad entre esencial e importante, que no supondrá diferencia en cuanto a medidas u obligaciones a cumplir, sino solamente una distinción en cuanto al nivel de supervisión por parte de las autoridades. Según dicho artículo, los sujetos obligados son:

1. Medianas y grandes empresas de los sectores y subsectores Anexos I o II
2. Entidades críticas Directiva 2022/2557
3. Administración pública local
4. Supuestos concretos Anexos I y II
5. Centros de enseñanza
6. Prestadores de servicios de registro de nombres de dominio

Tal vez la respuesta a la clasificación dentro de los sectores de los Anexos I y II sea uno de los aspectos que genera más duda o preocupación y, en este caso, no existe una respuesta general y única, sino que debe analizarse según las particularidades de cada organización.

En este sentido, es preciso realizar un análisis de diferentes normativas especiales y sectoriales para determinar si una organización puede enmarcarse dentro de los sectores, subsectores y tipo de entidad que se mencionan en los Anexos de la Directiva.

¿Dónde deben poner foco las organizaciones obligadas?

Si bien es cierto que la Directiva NIS2 introduce diferentes novedades con respecto a su predecesora, hay algunos aspectos que se pueden considerar más importantes y en los que es recomendable que las organizaciones pongan foco.

Las empresas deben adoptar medidas adecuadas y proporcionadas basadas en una gestión de riesgos comprensible. Estas medidas deben basarse en un enfoque de gestión holístico y orientado a las amenazas con el fin de prevenir los incidentes de seguridad o minimizar su impacto.

Gobierno y responsabilidad de la dirección

El articulado de la Directiva NIS2 exige a los EEMM que garanticen que los órganos de dirección de las organizaciones aprueben las medidas de gestión de los riesgos de ciberseguridad adoptadas por dichos órganos para cumplir lo dispuesto en el artículo 21, supervisen la aplicación de dichas medidas y puedan llegar a ser incluso responsables de las infracciones previstas en dicho artículo.

Además, los órganos de dirección están obligados a mantenerse actualizados en cuanto a formación se refiere, y se les anima a ofrecer una formación a sus empleados de forma periódica. De este modo, los empleados adquieren conocimientos y aptitudes suficientes que les permiten identificar los riesgos y evaluar prácticas de gestión de riesgos de ciberseguridad y su impacto en los servicios prestados por la organización.

 Requisitos de seguridad: Resiliencia y gestión del riesgo.

Las organizaciones esenciales e importantes (nuevas nomenclaturas de la Directiva) están obligadas a adoptar medidas técnicas, operativas y organizativas para gestionar los riesgos de seguridad de las redes y sistemas de información.

La proporcionalidad se basa en la exposición al riesgo de la organización, su tamaño y la probabilidad y gravedad de posibles incidentes, incluido el impacto económico y social. Las organizaciones deben adoptar un enfoque para estar preparadas frente a todo el espectro de incidentes y emergencias y ser capaces de proteger los sistemas de red e información y el entorno físico de dichos sistemas.

Dentro de estas medidas, se debe prestar especial atención a la cadena de suministro ya que, tanto la Directiva NIS2 como otras normas en potencia, como la propuesta de Ley de Ciberresiliencia, hacen hincapié en los riesgos provenientes de la cadena de suministro de una entidad y su relación con proveedores. De esta forma, sitúa a los proveedores en una posición estratégica de cara a la gestión de los riesgos de ciberseguridad.

Las entidades esenciales e importantes deben evaluar y tener en cuenta la calidad general y resiliencia de los productos y los servicios, las medidas para la gestión de riesgos de ciberseguridad integradas en ellos y las prácticas en materia de ciberseguridad de sus proveedores y prestadores de servicios, incluidos sus procedimientos de desarrollo seguro.

Deberán incorporar medidas para la gestión de riesgos de ciberseguridad en los acuerdos contractuales con sus proveedores y prestadores de servicios directos.

Gestión de incidentes: obligación de notificar

Mediante la supervisión de los EEMM, las organizaciones están obligadas a notificar al CSIRT o, en su caso a la autoridad competente en caso de un impacto significativo en la prestación de sus servicios.

En caso de un incidente significativo, las organizaciones deben informar a los destinatarios de los servicios de la entidad que se puedan ver afectados, las medidas o soluciones que pueden aplicar para responder a la amenaza, y en ocasiones la propia amenaza.

Con unos plazos acotados, y la tipología de información a notificar tasada en la Directiva, las organizaciones también deben tener en consideración que el trabajo colaborativo entre entidades en la gestión de incidentes se considera fundamental por parte de los legisladores europeos.

Certificación de sistemas y productos

La Directiva introduce una serie de requisitos en cuanto a la certificación de servicios, sistemas y/o productos bajo el paraguas de esquemas europeos de certificación, acordes a la normativa europea, sean o no de entidades esenciales.

¿Cómo se puede preparar una organización?

1. Promover la sensibilización dentro de la organización. La adopción de la nueva NIS2 debe formar parte de la agenda de las organizaciones obligadas a su cumplimiento, tanto en términos de presupuesto como de estrategia. Dado el corto plazo hasta que la NIS2 sea aplicable, los requisitos necesarios para su cumplimiento deben estar entre las primeras preocupaciones de la dirección y demás áreas involucradas.
2. Plan de información. El objetivo de NIS2 es mejorar las capacidades de ciberseguridad de las organizaciones de la Unión Europea, al tiempo que se fomenta la concienciación frente a amenazas. Esta iniciativa obliga a adoptar medidas de gestión de los riesgos de ciberseguridad, algo fundamental para garantizar la resiliencia y la continuidad dentro de las organizaciones.
3. Solución ágil para cumplir con el deadline establecido. Poner atención en los principales puntos de riesgo, ayuda a mejorar el nivel de ciberseguridad corrigiendo de forma más inmediata los puntos débiles.
4. Garantizar el gobierno y promover responsabilidad. Garantizar la gobernanza y la responsabilidad sobre los riesgos es fundamental. Cuando no hay un propietario del riesgo asignado, es muy probable que este no se detecte a tiempo o no se resuelva de forma correcta cuando se materialice, por lo que una correcta asignación de responsabilidades y gobernanza sobre los riesgos será fundamental para poder hacer frente de manera eficiente a las exigencias relacionadas con la detección y notificación de incidentes, que establece la NIS2.

¿Qué aspectos deben definirse todavía?

Aunque en la Directiva se incluyen diferentes requisitos de cumplimiento ya aterrizados, pero también hay otros que han quedado en manos de los EEMM, y que deberán ser regulados por estos en la trasposición de esta Directiva antes de octubre del 24. Algunos de los aspectos pendientes de clarificación por parte de los EEMM más importantes son:

1. Definición del listado exhaustivo de entidades esenciales y entidades importantes. Este es uno de los aspectos más importantes a cubrir por parte de la nueva regulación. Además de los listados de los sectores de los Anexos de la propia Directiva, muchas empresas buscan una confirmación oficial, especialmente en aquellos casos donde por sector no pudieran aplicarle, pero sí por importancia al sistema económico/social del mercado español.

2. Medidas de seguridad aterrizadas por parte de los EEMM. Al igual que ocurrió con la Directiva original, la definición de medidas de seguridad por las que serán evaluadas las organizaciones es muy leve. Una de las principales incógnitas a resolver será si en estos dominios de control que, previsiblemente, incluirá una futura normativa nacional, incluye aspectos novedosos que pueden afectar a la ciberseguridad como puede ser la inteligencia artificial.

En cualquier caso, son muchos los requisitos que las organizaciones ya pueden, y que, en base a nuestra experiencia con este tipo de normativas, deben empezar a revisar e implantar en su funcionamiento, para que los modelos de cumplimiento sean consistentes y que en el momento en el que la Directiva sea totalmente aplicable podamos tener confianza en nuestro nivel de adecuación.