La Comisión Europea anunció en enero de 2020 una revisión de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, conocida como Directiva NIS. La nueva propuesta fue presentada en diciembre de ese mismo año y, hechas las consultas públicas y cerrados los plazos de propuestas y enmiendas, en octubre de 2021 la Comisión de Industria, Investigación y Energía aprobó el informe de la nueva propuesta.
La Directiva NIS nació con el objetivo de desarrollar medidas para garantizar un elevado nivel común en todos los Estados miembro en materia de ciberseguridad, en concreto se persiguió la protección frente a ataques y vulneraciones y la seguridad en las redes y sistemas de información. Este objetivo se abordó mediante distintas medidas como fueron la creación de un marco institucional común y de distintas autoridades homogéneas y competentes, la gestión y coordinación de incidentes y la implantación de requisitos de seguridad y certificación de medidas.
Su revisión abre paso a la Directiva NIS 2 o 2.0, la cual nace fruto de la necesidad de actualizar y armonizar la normativa en materia de ciberseguridad ante las actuales diferencias de aplicación de requisitos y medidas entre los distintos estados miembros. En concreto, la Comisión Europea considera que existe cierto margen de mejora en aspectos concretos como son la ciber-resiliencia empresarial, pues en muchos ámbitos no existe cultura de aplicación de la ciberseguridad y la carencia de respuestas comunes, fruto de la poca coordinación entre Estados.
La transposición de la Directiva NIS por parte de los estados miembro y su aplicación y cumplimiento por parte de los distintos actores permitió apreciar distintos obstáculos a los que había que hacerle frente en normativas posteriores:
- Existe un intercambio de información bajo y poco sistematizado entre empresas, operadores y proveedores de los distintos Estados
- El ámbito de aplicación de la Directiva deja fuera a organizaciones y actores relevantes en el ámbito de la ciberseguridad
- El procedimiento para la notificación de incidentes por parte de los proveedores de servicios esenciales es distinto dependiendo del Estado miembro en el que se encuentren, así como sus obligaciones y las sanciones
- Las diferencias existentes en cuanto a recursos presupuestarios y humanos en los Estados miembros condicionan su capacidad para hacer frente a los ciberataques
De esta forma, la nueva norma trabaja principalmente sobre la armonización y la resiliencia, y tiene como principales objetivos regular la seguridad de las redes y sistemas de información, reforzar la cooperación entre autoridades competentes y órganos de cooperación relevantes en el ámbito comunitario y simplificar el sistema de notificación de incidentes, con el fin de reforzar la normativa comunitaria en materia de ciberseguridad, mejorando así la capacidad de respuesta de las organizaciones ante el creciente número de ciberataques.
Las principales novedades que trae la nueva norma son las siguientes:
- Cambios en el ámbito de aplicación:
- Ampliación del concepto de “entidades esenciales”: se introducen nuevos sectores considerados críticos y que no se contemplaban previamente
- Introducción de un nuevo concepto: Sectores importantes, entre los cuales se hallarán la gestión de residuos, el sector aeroespacial, la producción, transformación y distribución de alimentos, los fabricantes y proveedores de servicios digitales, los servicios postales de mensajería, y la fabricación, producción y distribución de sustancias y mezclas químicas.
- Resulta relevante mencionar que la introducción de estos nuevos sectores no tendrá gran incidencia a nivel nacional dado que la normativa española de desarrollo de la Directiva NIS (Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, y su Reglamento – Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018) ya contemplaban muchos de estos sectores en su ámbito de aplicación.
La nueva norma deja fuera de su ámbito de aplicación a las entidades dedicadas a la defensa, la seguridad nacional y pública, a las fuerzas del orden, a los Parlamentos y a los bancos centrales.
- Mayor cooperación: la revisión a la Directiva establece normas mínimas y mecanismos para una mejor cooperación entre autoridades. Para ello, se establecerá la Red Europea de Organización de Enlace de Crisis Cibernéticas (EU-CYCLONe), que apoyará la gestión coordinada de incidentes y ataques de ciberseguridad de gran alcance.
- Suministro y proveedores: La NIS 2 aborda la seguridad de las cadenas de suministro y las relaciones con los proveedores, permitiendo a las empresas exigir a sus proveedores el cumplimiento de la normativa en caso de ser entidades designadas como operadores críticos. Esta medida obliga a tener una visión más global y completa de los riesgos en ciberseguridad de una organización.
- Responsabilidad recae en altos cargos: la responsabilidad del cumplimiento de las medidas de gestión de riesgos de ciberseguridad recaerá sobre la dirección de la empresa.
- Medidas en caso de incumplimiento: Las amonestaciones, instrucciones y multas en caso de actuaciones contrarias a la norma podrían ser de hasta dos millones de euros e incluso llegar a suponer el 2% de los ingresos anuales de la organización.
- Promueve la cooperación público-privada a través de los ppp (Public – Private – Partnerships): Se promueve el desarrollo de asociaciones público-privadas especializadas en ciberseguridad para el avance y progreso de estrategias nacionales en la materia.
- Búsqueda de armonización normativa: Con el objetivo de alcanzar una armonización normativa entre los distintos Estados miembro, se impone a la Agencia de la Unión Europea para la Ciberseguridad (ENISA) la responsabilidad de promocionar entre los estados y las autoridades competentes las nuevas normas para la prevención, detección y respuesta a los ciberataques. También se persigue la coherencia normativa; la directiva está totalmente integrada con normativa sectorial, teniendo en consideración requisitos de regulación específicos contemplados en normativa del sector como son el DORA (Directiva para la Resiliencia Operativa Digital para el sector financiero) y la Directiva CER (de resiliencia de entidades criticas).
- Nuevos requisitos de seguridad: Nacen nuevas obligaciones como pudieran ser el uso de cifrado de extremo a extremo, imponiendo la privacidad por defecto y desde diseño, la respuesta a incidentes y gestión de crisis, la certificación de sus servicios, productos y/o sistemas bajo esquemas europeos de certificación de la ciberseguridad de acuerdo con normativa comunitaria, o el tratamiento y divulgación de vulnerabilidades.
En cuanto al impacto de la Directiva sobre las empresas, éste dependerá de su condición como actor en el mercado, así como de la posibilidad de que forme parte de la cadena de suministros de alguna organización de servicio esencial. A nivel interno, será aconsejable en la mayoría de las ocasiones la creación de nuevos departamentos y/o procesos internos para cumplir los requisitos de la Directiva, así como la selección de perfiles con capacidades digitales para cumplir estos requisitos, todo ello colaborando con entidades esenciales e importantes.
Una vez publicada en el Diario Oficial, la Directiva NIS 2 entrará en vigor 20 días después de su publicación y los Estados miembros tendrán un plazo de 21 meses para transponer la nueva norma a su legislación nacional.
