La DIRECTIVA (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre medidas para un alto nivel común de ciberseguridad en toda la Unión Europea, más conocida como DIRECTIVA NIS, es la legislación de la UE en materia de Ciberseguridad.
Esta norma proporciona medidas legales para impulsar el nivel general de ciberseguridad en la UE.
Entró en vigor el 27 de diciembre de 2023, y el 17 de enero de 2023 comenzó la transposición de esta Directiva al ordenamiento jurídico de los estados miembros de la UE, la cual finalizará el 17 de octubre de 2024.
El ámbito de aplicación de esta Directiva son los servicios esenciales que dependan de redes y servicios de información (OES), y los proveedores de servicios digitales (DSP), siendo obligatoria a partir de 2024 para empresas de más de 250 empleados y con una facturación de 50 millones de euros.
La novedad radica en que incluirá a todas las medianas y grandes entidades de los sectores críticos, pero también infraestructuras comunes como centros de datos o laboratorios de investigación.
También se incluye a la Administración Pública con excepción de la Policía, Parlamento, Banco Central y Poder judicial.
La inclusión del ámbito digital que da apoyo a servicios claves como pueden ser salud, infraestructuras digitales, ferroviario etc., nos indica la trascendencia de esta norma.
La actitud buscada en las entidades, ante los riesgos de ciberseguridad, debe ser proactiva y preventiva frente a estos posibles ataques.
Una segunda novedad de la Directiva es la responsabilidad legal que recae sobre los Órganos Directivos en caso de incumplimiento de estas obligaciones y medidas recogidas en la misma.
Así, serán estos órganos los que aprueben y supervisen la puesta en práctica de las medidas técnicas y operativas y de organización, que deberán ser adecuadas y proporcionales para la gestión de sus riesgos de ciberseguridad.
Consecuencia de todo ello, será la creación de un inventario de proveedores tecnológicos y no tecnológicos, extendiendo así la ciberseguridad a través de todas las cadenas de suministros, pasando las entidades a ser responsables de la actuación de sus proveedores y suministradores.
Todo ello irá acompañado del cumplimiento del principio de accountability a efectos de poder evidenciar la implantación y, en su caso, eficacia de los controles implantados.
Los requerimientos de seguridad que tendrán que cumplir los OES y DSP serán, entre otros, los siguientes:
- Contar con un persona u órgano colegiado responsable de la seguridad de la información.
- Implantar los desarrollos normativos de la Directiva NIS 2.
- Adopción de la medidas técnicas y organizativas de gestión de los riesgos.
- La aplicación efectiva de una política de seguridad.
- Auditorías externas sobre la seguridad de las redes y sistemas de la información.
Otra novedad a tener en cuenta es la obligación regulada en el artículo 20.2 de la Directiva, relativa a la formación a todos los miembros de los órganos de dirección de las entidades, que deberán participar periódicamente de las mismas formaciones que reciban el resto de los profesionales de la entidad, pudiendo así acreditar su capacidad para:
- Detectar los riesgos.
- Evaluar las prácticas de gestión de riesgos de ciberseguridad y su repercusión en los servicios proporcionados por la entidad.
A estos efectos, el artículo 21.4 de la Directiva alude a responsabilidades legales, tanto de los representantes de la entidad infractora como, en determinados supuestos regulados en el Compliance, de la propia persona jurídica.
Esta responsabilidad será exigible cuando se constate que la entidad no cumple con sus obligaciones en materia de prevención, implantación y revisión de las medidas necesarias a efectos de control del riesgo.
Como última novedad indicar que se prevé la creación de una Red Europea de Organización de Enlaces de Crisis Cibernéticas (EU-Cyclone) con funciones de mitigación y prevención de los incidentes y respuestas a gran escala.
La conclusión en relación con esta nueva Directiva NIS 2, es el nuevo reto que supone especialmente para las medianas y pequeñas empresas, y la necesaria concienciación, a nivel general, de la importancia de la Ciberseguridad y su necesaria inclusión en los programas de Compliance de las entidades.
