nº 994 - 30 de marzo de 2023
Claves de la nueva estrategia de ciberseguridad de la UE tras la Directiva NIS 2
Silvia Zamorano. Asociada Principal en Deloitte Legal
José Martínez. Asociado en Deloitte Legal
La Directiva establece obligaciones específicas para los Estados miembros y los órganos de dirección de las entidades esenciales e importantes en materia de gestión de riesgos de ciberseguridad
Los ciberdelincuentes han hallado nuevas maneras de obtener beneficios económicos con la «ingeniería social» como herramienta fundamental para la comisión de este tipo de ataques
El Parlamento Europeo y el Consejo han llegado a un acuerdo sobre las medidas para garantizar un elevado nivel de seguridad dentro de la Unión Europea. De esta forma, la Directiva NIS 2 deroga la Directiva NIS (Directiva 2016/1148/CE). El 27 de diciembre de 2022 se publicó la Directiva NIS2, que establece obligaciones de ciberseguridad para los Estados miembros, medidas para la gestión de riesgos de ciberseguridad y obligaciones de notificación para las entidades en su ámbito de aplicación, obligaciones relativas al intercambio de información sobre ciberseguridad, así como obligaciones de supervisión y ejecución para los Estados miembros, entrando la misma en vigor el 17 de enero de 2023.
Los Estados miembros deberán incorporar las disposiciones de la Directiva NIS 2 a la legislación nacional en un plazo de 21 meses a partir de la entrada en vigor de la directiva, esto es, antes del 17 de octubre de 2024.
El punto de partida: la Directiva NIS
La Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (conocida como «Directiva NIS») se aprobó en julio de 2016 con el objetivo de lograr un elevado nivel común de seguridad de las redes y sistemas de información dentro de la Unión.
A día de hoy, las medidas establecidas por esta Directiva están totalmente integradas en la seguridad de las redes y sistemas, como pilares básicos. En este sentido, cabe destacar la red de CSIRT (red de equipos de respuesta a incidentes de seguridad), el Grupo de cooperación entre Estados miembros y la estrategia nacional de seguridad.
La Directiva NIS ya establecía una serie de requisitos en materia de seguridad y notificación de incidentes para los operadores de servicios esenciales, si bien estas obligaciones se amplían en NIS 2, tanto a nivel objetivo como subjetivo.
¿Cuáles son las principales novedades que trae NIS 2?
En la actualidad, las amenazas cibernéticas son cada vez más frecuentes y sofisticadas. En un contexto global, los ciberdelincuentes han hallado nuevas maneras de obtener beneficios económicos con la «ingeniería social» como herramienta fundamental para la comisión de este tipo de ataques. Si bien los niveles de ciber-resiliencia han mejorado notablemente desde la directiva NIS, con NIS 2 la Unión Europea quiere un cambio de mentalidad significativo en el conjunto de la sociedad y las empresas, ampliando las obligaciones de los diferentes agentes que intervienen en el ámbito de la ciberseguridad.
Cuando hablamos de ciberataques, uno de los principales problemas que ya se habían puesto sobre la mesa desde hace años, es la prestación transfronteriza de servicios que es aprovechada por los ciber-delincuentes. Asimismo, el marco regulatorio anterior permitía un amplio margen a los Estados miembros para el establecimiento de medidas de seguridad, lo que implicaba que el nivel de ciber-resiliencia se estaba aplicando de manera muy dispar. Todo ello, sin duda, aumentaba el nivel de vulnerabilidad de algunos Estados miembros frente a las ciberamenazas que irremediablemente repercutía en toda la Unión.
El objetivo de la nueva Directiva es eliminar estas diferencias mediante la definición de normas mínimas relativas al funcionamiento de un marco regulador coordinado, el establecimiento de mecanismos para que las autoridades competentes de cada Estado miembro cooperen de manera eficaz, la actualización de la lista de sectores y actividades sujetos a las obligaciones de ciberseguridad y la disponibilidad de vías de recurso y medidas de ejecución eficaces que son fundamentales para garantizar el cumplimiento efectivo de dichas obligaciones.
De esta forma, son muchas las novedades que vienen reflejadas en NIS 2 para hacer frente a dicha problemática.
Por un lado, la ampliación del ámbito de aplicación de las entidades sujetas las nuevas obligaciones en materia de ciberseguridad. Se introducen nuevos sectores en el concepto de «entidades esenciales», tales como el de Sistemas urbanos de calefacción y refrigeración, Hidrógeno, Aguas residuales, Administración Pública y Espacio.
Asimismo, se introduce un nuevo concepto: «entidades importantes», entre las cuales se hallan la gestión de residuos, el sector aeroespacial, la producción, transformación y distribución de alimentos, los fabricantes y proveedores de servicios digitales, los servicios postales de mensajería, y la fabricación, producción y distribución de sustancias y mezclas químicas.
No obstante, la nueva Directiva mantiene fuera de su ámbito de aplicación a las entidades dedicadas a la defensa, la seguridad nacional y pública, a las fuerzas del orden, a los parlamentos y a los bancos centrales.
En lo que se refiere a la responsabilidad de los altos cargos, la Directiva NIS 2 establece obligaciones específicas para los órganos de dirección de las entidades esenciales e importantes en materia de gestión de riesgos de ciberseguridad. El detalle sobre estas obligaciones se expone infra.
En cuanto a la cadena de suministro, NIS 2 tiene en cuenta las relaciones con proveedores, obligando a considerar las vulnerabilidades específicas de los mismos a la hora de establecer las medidas en materia de ciberseguridad.
Además, la norma establece un nuevo régimen sancionador para las empresas «esenciales e importantes»: el incumplimiento de la obligación de establecer medidas se podrá sancionar con multas administrativas de, al menos, 10 millones de euros o, como máximo, de una cuantía equivalente al 2 % del volumen de negocios anual total a nivel mundial de la organización.
También se establecen mecanismos para mejorar la cooperación entre autoridades mediante la creación de la red de funcionarios de enlace nacional para la gestión de cibercrisis (EU-CyCLONe) y el Registro Europeo de Vulnerabilidades por la ENISA.
Por otro lado, en cuanto a nuevos requisitos de seguridad, se establecen nuevas medidas para salvaguardar la seguridad de las redes y servicios de comunicaciones electrónicas, tales como el cifrado de extremo a extremo, la privacidad por defecto y desde el diseño, la certificación de productos, servicios y procesos de TIC en virtud de un sistema europeo de certificación de la ciberseguridad, o la respuesta y gestión de incidentes de seguridad.
¿Cuáles son las nuevas obligaciones para los órganos de dirección?
A partir de la entrada en vigor de NIS 2, las entidades esenciales e importantes deberán adoptar medidas técnicas y de organización adecuadas y proporcionadas para gestionar los riesgos de seguridad de sus redes y sistemas de información. Estas medidas incluirán, al menos:
– Políticas wde seguridad de los sistemas de información y análisis de riesgos; gestión de incidentes (prevención, detección y respuesta).
– Continuidad de las actividades y la gestión de crisis.
– Seguridad de la cadena de suministro, incluidos los aspectos de seguridad relativos a las relaciones entre cada entidad y sus proveedores o prestadores de servicios, como, por ejemplo, proveedores de servicios de almacenamiento y tratamiento de datos o servicios de seguridad administrada.
– Seguridad en la adquisición, el desarrollo y el mantenimiento de redes y sistemas de información, incluida la gestión y divulgación de las vulnerabilidades.
– Políticas y procedimientos (ensayo y auditoría) para evaluar la eficacia de las medidas para la gestión de riesgos de ciberseguridad.
– La utilización de criptografía y cifrado.
– Adicionalmente, los miembros del órgano dirección deberán asistir periódicamente a formaciones específicas sobre la evaluación, gestión e impacto de riesgos de ciberseguridad.
De este modo, se establece la obligación de implantar medidas para la gestión de riesgos de ciberseguridad, reporte y gestión de incidentes de seguridad, asegurando la continuidad de aquellas entidades «esenciales» e «importantes», por lo que las nuevas obligaciones y medidas establecidas por esta Directiva contribuirán a mejorar la resiliencia y las capacidades de respuesta a incidentes de las entidades públicas y privadas.
En definitiva, la entrada en vigor de la Directiva NIS 2 supondrá un cambio radical en la gestión de riesgos de ciberseguridad, postulando una vez más el cumplimiento normativo como herramienta esencial para la prevención y gestión de riesgos. ■