Actualizado el 6 de marzo de 2024 (transposición en los Estados miembros)
Si su compañía se está preparando para cumplir con la NIS 2 (SRI 2), seguramente se esté preguntando lo que tiene que hacer. Este artículo expone los requisitos más importantes de la NIS2 que debe cumplir, centrándose en el Capítulo IV, Medidas para la gestión de riesgos de ciberseguridad y obligaciones de notificación.
- Responsabilidades de los órganos de dirección
- Importancia de la formación
- Enfoque de ciberseguridad basado en los riesgos
- Ciberseguridad como una combinación de medidas técnicas, operativas y organizativas
- Seguridad de la cadena de suministros
- Notificación de incidentes significativos
- Uso de productos y servicios de TIC certificados
- Multas
Sorprendentemente, de 46 artículos de la Directiva NIS 2, solo los artículos 20 a 25 son realmente relevantes para las compañías (entidades esenciales e importantes) que deben cumplir con la NIS 2; la mayoría del resto de artículos establecen exigencias para las entidades gubernamentales que regulan la ciberseguridad.
Vea también: 15 pasos para la implementación de medidas para la gestión de riesgos de ciberseguridad en la NIS 2
Los requisitos más importantes se encuentran en el Capítulo IV y se articulan en torno a dos temas principales: la gestión de riesgos de ciberseguridad y las obligaciones de notificación. Fuera del Capítulo IV, solo hay unas pocas cuestiones relevantes para las entidades esenciales e importantes.
Aquí van los requisitos más importantes de la NIS 2 que usted debe tener en cuenta:
1) Responsabilidades de los órganos de dirección
Según el artículo 20, los órganos de dirección de las entidades esenciales e importantes:
- deben aprobar medidas de ciberseguridad que deban implementarse en la compañía,
- deben supervisar su implementación y
- pueden ser considerados responsables si la ciberseguridad no se implementa adecuadamente.
Los artículos 32 y 33 insisten aún más en la responsabilidad de los representantes legales de las entidades esenciales y las entidades importantes.
2) Importancia de la formación
Según el artículo 20, los miembros de los órganos de dirección deben formarse en materia de ciberseguridad y deben ofrecer este tipo de formación a sus empleados periódicamente.
La NIS 2 exige que esta formación abarque la identificación de riesgos, la evaluación de las prácticas de ciberseguridad y cómo estas medidas de ciberseguridad ayudan a la compañía a proporcionar sus servicios.
Haga clic aquí para ver 25 vídeos de conciencia sobre seguridad para formar a los empleados de su compañía.
3) Enfoque de ciberseguridad basado en los riesgos
El artículo 21 requiere que las medidas de ciberseguridad sean apropiadas para los riesgos correspondientes. Al evaluar los riesgos, la NIS2 obliga a que las compañías tengan en cuenta lo siguiente:
- exposición a los riesgos
- tamaño de la entidad
- probabilidad de que se produzcan incidentes y su severidad
- repercusiones sociales y económicas de los incidentes
4) Ciberseguridad como una combinación de medidas técnicas, operativas y organizativas
El artículo 21 exige que las compañías “tomen las medidas técnicas, operativas y de organización adecuadas y proporcionadas para gestionar los riesgos que se planteen para la seguridad de los sistemas de redes y de información… y evitar o minimizar las repercusiones de los incidentes en los destinatarios de sus servicios y en otros servicios”.
Además, el artículo 21 considera un enfoque basado en todos los peligros, lo que básicamente significa que las compañías tienen que prepararse para una amplia gama de amenazas potenciales.
Por último, el artículo 21 especifica una serie de documentos y medidas de ciberseguridad que detallamos en este artículo: Lista de documentos exigidos por la NIS 2.
5) Seguridad de la cadena de suministros
El artículo 21 obliga a las compañías a prestar especial atención a los riesgos relacionados con los proveedores o prestadores de servicios directos, en particular:
- Vulnerabilidades específicas de cada proveedor y prestador de servicios directo
- Calidad general de los productos y las prácticas en materia de ciberseguridad de los proveedores y prestadores de servicios
- Procedimientos de desarrollo seguro de los proveedores y prestadores de servicios
6) Notificación de incidentes significativos
El artículo 23 exige que las compañías notifiquen cualquier incidente significativo a los equipos de respuesta a incidentes de seguridad informática (CSIRT) de la siguiente manera:
- Una alerta temprana: indica si cabe sospechar que el incidente significativo responde a una acción ilícita o malintencionada o puede tener repercusiones transfronterizas.
- Una notificación del incidente: expone una evaluación inicial del incidente significativo, incluyendo su gravedad e impacto, así como indicadores de compromiso, cuando estén disponibles.
- Un informe intermedio: ofrece actualizaciones pertinentes sobre la situación.
- Un informe final: debe crearse, a más tardar, un mes después de presentar la notificación del incidente.
- Un informe de situación: creado en el caso de que el incidente siga en curso en el momento de la presentación del informe final.
Vea también: ¿Cuáles son las obligaciones de notificación según la NIS 2?
7) Uso de productos y servicios de TIC certificados
La NIS 2 no exige que las entidades esenciales e importantes obtengan ninguna certificación. Sin embargo, la Directiva NIS2 permite que los países de la UE (Estados miembros) o la Comisión de la UE exijan a esas entidades que utilicen productos o servicios de TIC que estén certificados. En el momento de escribir este artículo, no se exige el uso de productos o servicios de TIC certificados, pero existe una alta probabilidad de que acabe siendo obligatorio.
Esos productos y servicios de TIC deberán estar certificados de acuerdo con el esquema europeo de certificación de la ciberseguridad.
8) Supervisión y multas
NIS2 exige una estricta supervisión de las entidades esenciales e importantes: inspecciones in situ, supervisión a distancia, auditorías de ciberseguridad y escáneres de seguridad.
Igual que ocurre en el RGPD de la UE, el artículo 34 de esta Directiva introduce multas para las compañías que no cumplan con la NIS 2:
- Para las entidades esenciales: un máximo de 10 millones de euros o un máximo del 2% de la facturación anual total en todo el mundo.
- Para entidades importantes: un máximo de 7 millones de euros o un máximo del 1,4% de la facturación anual total en todo el mundo.
Valorando este aspecto desde la experiencia con el RGPD de la UE, la tendencia durante los dos primeros años tras su entrada en vigor fue no imponer multas considerables a las compañías. Sin embargo, posteriormente, estas multas han pasado a ser muy habituales.
Legislación adicional de los países de la UE
Desgraciadamente, la historia no acaba aquí: los países de la UE (Estados miembros) pueden introducir sus propios requisitos de ciberseguridad y notificaciones además de lo que establece la NIS 2. Este proceso de elaboración de legislación local a partir de una directiva de la UE se conoce como “transposición”.
A fecha de redacción de este artículo, sólo un Estado miembro ha transpuesto la NIS 2 a su legislación local:
Como en el caso de la Ley de Ciberseguridad de Croacia, es probable que la mayoría de los Estados miembros no introduzcan nuevos requisitos de mayor envergadura, aunque cabe esperar algunos requisitos adicionales de menor envergadura; en cualquier caso, actualizaré este artículo cuando esto ocurra.
Para más información sobre la NIS2, descargue este libro blanco gratuito: Guía completa de la Directiva NIS 2.