nº 1.011 - 31 de octubre de 2024

El fortalecimiento de la Ciberseguridad en la Era Digital: Directiva NIS 2

Javier Crespo Suárez. Abogado, DPO y Consultor en Derechos Digitales. Castroalonso

Europa se refuerza para garantizar un elevado nivel de ciberseguridad

El futuro de la Unión Europea pasa por el establecimiento de un marco común de ciberseguridad que ofrezca una mayor solidez y cohesión

En la actual sociedad predominantemente digital, el término «Ciberseguridad» está presente en mayor o menor medida, o al menos debería estarlo, en nuestro día a día. La seguridad digital o ciberseguridad, es aquel concepto que engloba cualquier práctica destinada a proteger la información digital, así como los dispositivos y activos de cualquier persona u organización.

Tanto en nuestra esfera personal como por supuesto en la profesional, la seguridad digital ha de ser un pilar trascendental que no ha de pasar inadvertido. Se trata del principal escudo o blindaje cuya función es la de evitar que una ciberamenaza se consume, desestabilizando o haciendo tambalearse nuestro entorno privado o corporativo. Desde el phishing, pasando por la denegación de servicio, o a través de un ataque de ransomware, cualquier ciberataque puede degenerar en nefastas consecuencias para la persona u organización objeto del asalto, siempre que no estemos preparados para desplegar una defensa eficaz que combata el embate.

Los que nos dedicamos, entre otros menesteres, a este sector, somos más que conscientes de que los constantes ataques que, tanto personas físicas como jurídicas sufren a diario, son la principal causa de la renovación y transformación que tienen lugar en la materia tanto desde el punto de vista de la técnica, como desde el legislativo. La finalidad no es otra que la de dar respuesta a la cambiante realidad actual por medio del desarrollo e implantación de sofisticados sistemas de protección eficaces, así como de la elaboración y aprobación de normativas que sirvan de apoyo a este fin.

Transposición de la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 (Directiva NIS 2)

El pasado 18 de octubre ha vencido el plazo fijado para transponer la Directiva europea, cuya finalidad primordial es la de reforzar la ciberseguridad en diferentes sectores a través de la implementación de nuevas medidas de impulso del nivel general de seguridad digital y en pos de la resiliencia cibernética de diferentes infraestructuras críticas y de los servicios digitales.

Esta Directiva, conocida comúnmente como NIS 2 (Directiva [UE] 2022/2555 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022), y tal y como contempla su Artículo 1, tiene como objeto establecer medidas destinadas a garantizar y alcanzar un elevado nivel común de ciberseguridad en toda la Unión Europea, mejorando con ello el funcionamiento del mercado interior. Se trata de una norma que amplía el alcance de su predecesora (Directiva NIS [UE] 2016/1148) que, además, se habría quedado obsoleta a causa de esa facilidad y celeridad con la que se producen los cambios de escenario en este ámbito y con la que las nuevas amenazas irrumpen con fuerza en los diferentes sectores del entorno europeo.

La Directiva NIS 2 entró en vigor en enero de 2023, veinte días después de su publicación en el DOUE, fijándose como fecha límite para la transposición de la misma por los diferentes estados europeos el 17 de octubre de 2024. Este plazo de 21 meses ha tenido como objetivo que cada uno de los Estados miembros una vez transcurrido, hayan desarrollado la norma europea adaptándola a su propia realidad y garantizando en todo caso su cumplimiento a partir del 18 de octubre de 2024.

No todos los Estados miembros, por no decir la menor parte de ellos, han transpuesto en sus legislaciones nacionales la Directiva NIS 2. A principios del mes de octubre, únicamente Croacia y Bélgica habían notificado oficialmente a la Comisión Europea la existencia de una transposición efectiva. Sin embargo, más países han llegado «in extremis» a la fecha señalada con los deberes hechos como es el caso de Hungría, Letonia, Grecia y Lituania. Por el contrario, otros estados se encuentran en vías de hacer efectiva la transposición lo antes posible, aunque sea con posterioridad a la fecha indicada. Este es el caso de España.

Hacia una unificación real del marco normativo europeo en materia de ciberseguridad

Por lo que respecta al contenido concreto de la Directiva NIS 2, como ya se ha indicado, ésta tiene como objeto poner fin a las divergencias existentes en materia de ciberseguridad entre los Estados miembros, estableciendo y armonizando un nuevo marco normativo más cohesionado y con una regulación común a todos los estados de la Unión. Se contemplan, además, nuevos sectores, servicios digitales y entidades (públicas y privadas) que, por su actividad, habrán de implementar las medidas concretas por ser consideradas fundamentales para el funcionamiento de la sociedad europea y su economía. Se establecen, en definitiva, nuevos requisitos para las entidades, así como la implementación de medidas de seguridad mínimas con el objeto de fortalecer la ciberresiliencia. También se establecen obligaciones para las organizaciones en materia de notificación de incidentes, así como una serie de sanciones que serán más severas si cabe para el caso de que no se cumplan los requisitos y obligaciones correspondientes. Por otro lado, la cooperación entre los Estados miembros también está presente exigiéndose, además, la notificación de los incidentes en materia de ciberseguridad más significativos.

En definitiva, la Directiva NIS 2 ha visto la luz con el propósito de ampliar significativamente los sectores críticos y los servicios esenciales objeto de aplicación de la normativa, reforzando y unificando las medidas de seguridad digital que han de adoptarse en todo el contexto de la UE tanto en el sector público como en el privado. Además, se estandarizan requisitos en cuestión de ciberseguridad y se promueve en todo momento la colaboración y cooperación estrecha entre Estados miembros para fortalecer la ciberresiliencia europea y las capacidades de respuesta a incidentes, adaptando las estructuras y los mecanismos propios de cada Estado a tal fin. ■