TL;DR

NIS2 es la nueva ciberley de la UE para sectores críticos: mayor alcance, normas más estrictas. Exige seguridad básica (parches, cadena de suministro, control de acceso), notificación rápida de incidentes (24 horas) y responsabilidad a nivel ejecutivo.

Si usted es una entidad "esencial" o "importante" en la UE, su cumplimiento no es negociable antes de octubre de 2024. Multas de hasta 10 millones de euros o el 2% de la facturación mundial.

Resumen del cuadro de mando de la Directiva NIS2:

• Esfuerzo del desarrollador: Moderado (Requiere implementar controles técnicos específicos, prácticas SDLC seguras centradas en el manejo de vulnerabilidades y la seguridad de la cadena de suministro, y apoyar la detección/notificación rápida de incidentes).
• Coste de las herramientas: Moderado a alto (Depende de la madurez de la línea de base; puede requerir inversión en herramientas de gestión de riesgos, mejora de la supervisión/registro, gestión de vulnerabilidades, MFA, cifrado, herramientas de seguridad de la cadena de suministro).
• Impacto en el mercado: Muy alto (Obligatorio para una amplia gama de entidades que operan en la UE; eleva significativamente el listón de las expectativas y la aplicación de la ciberseguridad).
• Flexibilidad: Moderada (Obliga a adoptar medidas mínimas de seguridad, pero permite la proporcionalidad en función del riesgo y del tamaño o criticidad de la entidad).
• Intensidad de auditoría: Alta (las autoridades nacionales supervisarán y harán cumplir la normativa; implica posibles auditorías, inspecciones y pruebas de cumplimiento, especialmente para las entidades esenciales).

¿Qué es la Directiva NIS2?

La Directiva NIS2 (Directiva (UE) 2022/2555) es una ley a escala de la UE sobre ciberseguridad que deroga y sustituye a la Directiva de Seguridad de las Redes y de la Información (NIS) original de 2016. Su objetivo es lograr un mayor nivel común de ciberseguridad en todos los Estados miembros de la UE. Aborda las deficiencias de la primera Directiva SRI ampliando su ámbito de aplicación, aclarando los requisitos, reforzando las obligaciones de seguridad e introduciendo medidas de supervisión y ejecución más estrictas.

Aspectos clave de la Directiva NIS2:

• Ámbito ampliado: Abarca más sectores críticos para la economía y la sociedad. Distingue entre:
  
  • Entidades esenciales (anexo I): Incluye sectores como la energía, el transporte, la banca, las infraestructuras de los mercados financieros, la sanidad, el agua potable, las aguas residuales, las infraestructuras digitales (IXP, DNS, registros de TLD, proveedores en la nube, centros de datos, CDN, servicios de confianza), la administración pública y el espacio.
  • Entidades importantes (anexo II): Incluye servicios postales/de mensajería, gestión de residuos, productos químicos, producción/procesamiento/distribución de alimentos, fabricación (dispositivos médicos, ordenadores, electrónica, maquinaria, vehículos), proveedores digitales (mercados en línea, motores de búsqueda, plataformas de redes sociales) e investigación.
  • Generalmente se aplica a las medianas y grandes empresas de estos sectores, pero los Estados miembros pueden incluir entidades más pequeñas con perfiles de alto riesgo para la seguridad.
• Requisitos de seguridad más estrictos: Obliga a las entidades a aplicar "medidas técnicas, operativas y organizativas adecuadas y proporcionadas" para gestionar los riesgos de ciberseguridad (artículo 21). Esto incluye una base mínima de 10 medidas que abarcan el análisis de riesgos, la gestión de incidentes, la continuidad del negocio, la seguridad de la cadena de suministro, la gestión/divulgación de vulnerabilidades, las pruebas, la criptografía/encriptación, la seguridad de los recursos humanos/control de acceso/gestión de activos y el uso de AMF/comunicaciones seguras.
• Responsabilidad de la dirección: Responsabiliza explícitamente a los órganos de dirección de aprobar, supervisar y recibir formación sobre las medidas de gestión de riesgos de ciberseguridad. El incumplimiento puede acarrear la responsabilidad personal de los directivos.
• Obligaciones de notificación de incidentes: Introduce la notificación en varias fases de los incidentes significativos:
  
  • Alerta temprana de 24 horas al CSIRT (Equipo de Respuesta a Incidentes de Seguridad Informática) pertinente o a la autoridad competente.
  • Notificación del incidente en 72 horas con una evaluación inicial.
  • Informe final en el plazo de un mes.
• Seguridad de la cadena de suministro: Requiere que las entidades aborden los riesgos de ciberseguridad en sus cadenas de suministro y relaciones con proveedores directos.
• Armonización y aplicación: Pretende una aplicación más coherente en todos los Estados miembros, refuerza los poderes de supervisión de las autoridades nacionales e introduce importantes multas administrativas en caso de incumplimiento.

Los Estados miembros deben incorporar la NIS2 a sus legislaciones nacionales antes del 17 de octubre de 2024.

¿Por qué es importante?

NIS2 representa un gran paso adelante en la normativa de ciberseguridad de la UE:

• Impacto más amplio: Afecta a una gama mucho más amplia de sectores y empresas que operan en la UE en comparación con la Directiva NIS original. Muchas empresas tecnológicas (proveedores de servicios en la nube, centros de datos, proveedores digitales) entran directamente en su ámbito de aplicación.
• Mayor nivel de seguridad: Obliga a adoptar un conjunto más concreto de medidas mínimas de seguridad, elevando el nivel de ciberseguridad en todos los sectores cubiertos.
• Mayor responsabilidad: Atribuye a la dirección la responsabilidad directa (y potencial) de la supervisión de la ciberseguridad.
• Respuesta más rápida a los incidentes: Los estrictos plazos de notificación empujan a las organizaciones a agilizar las capacidades de detección y respuesta.
• Enfoque en la cadena de suministro: Reconoce y aborda los importantes riesgos que se originan en la cadena de suministro, obligando a las empresas a mirar más allá de su propio perímetro.
• Aplicación más estricta: Las multas significativas y los poderes de supervisión significan que el incumplimiento tiene serias consecuencias.
• Coherencia transfronteriza: Su objetivo es reducir la fragmentación de los requisitos de ciberseguridad y la supervisión en toda la UE.

Para las entidades esenciales e importantes, el cumplimiento de NIS2 no es opcional; es un requisito legal para operar en el mercado de la UE.

Qué y cómo aplicar (técnica y política)

La aplicación de NIS2 requiere un enfoque estructurado centrado en la gestión de riesgos y las medidas de seguridad mínimas obligatorias (artículo 21):

1. Confirmación del ámbito de aplicación: Determine si su organización entra en el ámbito de las entidades "esenciales" o "importantes" en función de los criterios de sector y tamaño definidos en la Directiva y las transposiciones nacionales.
2. Evaluación de riesgos y políticas (Art. 21(2a)): Llevar a cabo evaluaciones de riesgos exhaustivas que identifiquen las amenazas a los sistemas de red y de información. Elaborar y aplicar las correspondientes políticas de seguridad de los sistemas de información.
3. Gestión de incidentes (Art. 21(2b)): Establecer procedimientos para detectar, analizar, informar (cumpliendo los plazos de 24h/72h/1mes) y responder a incidentes de ciberseguridad. Requiere una supervisión y un registro sólidos.
4. Continuidad de la actividad y gestión de crisis (art. 21(2c)): Desarrollar planes de continuidad de la actividad (gestión de copias de seguridad, recuperación en caso de catástrofe) y gestión de crisis para garantizar la resistencia operativa durante/después de incidentes graves.
5. Seguridad de la cadena de suministro (Art. 21(2d)): Evaluar y abordar los riesgos relacionados con los proveedores directos y los proveedores de servicios (incluidos los CSP). Aplicar requisitos de seguridad en los contratos con los proveedores. Realice la diligencia debida.
6. Seguridad del sistema y gestión de vulnerabilidades (Art. 21(2e)): Implementar la seguridad en la adquisición, el desarrollo y el mantenimiento de redes y sistemas de información. Establecer procesos para la gestión y divulgación de vulnerabilidades (por ejemplo, utilizando escáneres de vulnerabilidades, gestión de parches). Esto se solapa en gran medida con las prácticas SDLC seguras (como NIST SSDF).
7. Pruebas de eficacia (Art. 21(2f)): Desarrollar políticas y procedimientos para evaluar periódicamente la eficacia de las medidas de gestión de riesgos de ciberseguridad aplicadas (por ejemplo, mediante auditorías internas/externas, pruebas de penetración).
8. Ciberhigiene y formación (Art. 21(2g)): Implantar prácticas básicas de ciberhigiene (contraseñas seguras, aplicación de parches) e impartir formación periódica de concienciación sobre ciberseguridad a todo el personal.
9. Criptografía y cifrado (Art. 21(2h)): Definir y aplicar políticas relativas al uso de criptografía y cifrado cuando proceda (por ejemplo, para datos en reposo y en tránsito).
10. Seguridad de RRHH, control de acceso, gestión de activos (art. 21(2i)): Implemente procedimientos de seguridad para el personal (comprobación de antecedentes si es necesario), políticas sólidas de control de acceso (mínimo privilegio, RBAC) y mantenga un inventario/gestione los activos de forma segura.
11. Autenticación multifactor (AMF) y comunicaciones seguras (art. 21(2j)): Utilizar soluciones MFA o de autenticación continua, comunicaciones seguras de voz/vídeo/texto y sistemas de comunicación de emergencia seguros cuando proceda.

La implantación requiere una combinación de controles técnicos sólidos (cortafuegos, IDS/IPS, EDR, SIEM, MFA, cifrado, escáneres de vulnerabilidades, herramientas de gestión de parches) y políticas, procedimientos y programas de formación bien documentados.

Errores comunes que hay que evitar

Las organizaciones que se preparan para NIS2 deben evitar estos escollos:

1. Subestimación del ámbito de aplicación: Asumir incorrectamente que NIS2 no se aplica debido al sector o al tamaño, o no identificar todas las unidades de negocio/sistemas relevantes dentro del ámbito de aplicación.
2. Ignorar el riesgo de la cadena de suministro: centrarse sólo en la seguridad interna y descuidar la obligación de evaluar y gestionar los riesgos de los proveedores directos.
3. Capacidad insuficiente de notificación de incidentes: Falta de supervisión, detección, análisis y procesos internos para cumplir los estrictos plazos de notificación de 24/72 horas.
4. Falta de implicación/supervisión de la dirección: Tratar NIS2 únicamente como una cuestión de TI/seguridad sin implicar a la dirección en la aprobación de políticas, la supervisión de la implantación y la formación necesaria.
5. Centrarse únicamente en la tecnología: Descuidar los aspectos cruciales de proceso, política, formación y gobernanza que exige la Directiva.
6. Documentación inadecuada: No documentar adecuadamente las evaluaciones de riesgos, las políticas, los procedimientos, la gestión de incidentes y las pruebas de la aplicación de los controles para una posible supervisión por parte de las autoridades nacionales.
7. Esperar demasiado: Retrasar la preparación hasta la fecha límite de octubre de 2024, subestimando el tiempo necesario para el análisis de las deficiencias, la implementación y los cambios en los procesos (a menudo estimados en ~12 meses).

Lo que podrían preguntar los auditores/autoridades (Enfoque en el desarrollador)

Aunque aún no se han definido auditorías formales como la SOC 2 , las autoridades nacionales de supervisión tendrán competencias para comprobar su cumplimiento. Las cuestiones que podrían afectar a los equipos de desarrollo podrían referirse a:

• (Art. 21(2e)) Gestión de vulnerabilidades: "¿Cuál es su proceso para identificar, evaluar y remediar las vulnerabilidades descubiertas en su software o sus dependencias? Muestre pruebas de parches recientes".
• (Art. 21(2e)) Desarrollo seguro: "¿Cómo garantiza que se tiene en cuenta la seguridad durante el ciclo de vida de desarrollo del software? ¿Puede mostrar pruebas de prácticas de codificación seguras o pruebas de seguridad (SAST/SCA)?".
• (Art. 21(2d)) Cadena de suministro (dependencias): "¿Cómo evalúa la seguridad de las bibliotecas de código abierto o componentes de terceros utilizados en su software?"
• (Art. 21(2b)) Apoyo a la gestión de incidentes: "¿Cómo apoya el registro de su aplicación la detección y el análisis de incidentes de seguridad?"
• (Art. 21(2h)) Criptografía: "¿Dónde se utiliza el cifrado en su aplicación (datos en tránsito, datos en reposo)? ¿Cómo se gestionan las claves?"
• (Art. 21(2i)) Control de acceso: "¿Cómo se controla el acceso a los entornos de desarrollo, al código fuente y a los conductos de despliegue?".
• (Art. 21(2j)) Autenticación: "¿Se utiliza la AMF para el acceso de los desarrolladores a sistemas críticos o repositorios de código?"

Las autoridades buscarán pruebas de procesos establecidos, controles técnicos y documentación que demuestre el cumplimiento de las medidas de seguridad obligatorias.

Ganancias rápidas para los equipos de desarrollo

Los equipos de desarrollo pueden contribuir a la preparación para NIS2 centrándose en los aspectos fundamentales:

1. Priorizar la gestión de vulnerabilidades: Implemente un sólido escaneado SCA y SAST en los procesos CI/CD y establezca acuerdos de nivel de servicio claros para solucionar vulnerabilidades críticas/de alta gravedad. (En consonancia con el art. 21(2e))
2. Refuerce la seguridad de CI/CD: Asegurar el acceso al pipeline, gestión de secretos de uso y escaneo de artefactos de construcción. (Compatible con varias medidas del artículo 21)
3. Mejorar el registro: Garantizar que las aplicaciones generan registros de eventos de seguridad significativos y los envían de forma centralizada para apoyar la detección de incidentes. (En consonancia con el art. 21(2b))
4. Aplicar MFA: Asegure el acceso de los desarrolladores a los repositorios de código, consolas en la nube y sistemas CI/CD con MFA. (En consonancia con el art. 21(2j))
5. Revisión de dependencias: Revisar y gestionar activamente la postura de seguridad de las bibliotecas de terceros. (Alineado con Art. 21(2d), 21(2e))
6. Formación básica en codificación segura: Actualizar los conocimientos del equipo sobre vulnerabilidades comunes (OWASP Top 10) y prácticas de codificación segura. (En consonancia con el art. 21(2g))

Ignore esto y... (Consecuencias del incumplimiento)

El incumplimiento de la norma NIS2 conlleva importantes sanciones aplicadas por las autoridades nacionales:

• Multas elevadas:
  
  • Entidades esenciales: Hasta 10 millones de euros o el 2% del volumen de negocios total anual a escala mundial del ejercicio anterior, si esta cifra es superior.
  • Entidades importantes: Hasta 7 millones de euros o el 1,4% del volumen de negocios total anual a escala mundial del ejercicio anterior, si esta cifra es superior.
• Órdenes correctivas: Las autoridades pueden emitir instrucciones vinculantes para subsanar las deficiencias.
• Auditorías e inspecciones: Las organizaciones que no cumplen las normas se enfrentan a un mayor escrutinio y a auditorías de seguridad obligatorias.
• Suspensión de certificaciones/autorizaciones: En algunos casos, podrían suspenderse las certificaciones o autorizaciones pertinentes para operar.
• Divulgación pública: Las autoridades pueden nombrar públicamente a las organizaciones incumplidoras.
• Responsabilidad de la dirección: Los miembros del órgano de dirección pueden ser considerados personalmente responsables y potencialmente ser inhabilitados temporalmente para ejercer funciones directivas por negligencia grave.
• Daños a la reputación: Las multas y la divulgación pública dañan gravemente la confianza de los clientes y la reputación de la marca.

PREGUNTAS FRECUENTES

¿Quién debe cumplir la Directiva NIS2?

Organizaciones medianas y grandes que operan en la UE en sectores específicos enumerados en el anexo I ("Entidades esenciales") y el anexo II ("Entidades importantes"). Esto incluye áreas como la energía, el transporte, la salud, la infraestructura digital (proveedores de nube, centros de datos, DNS, etc.), proveedores digitales (mercados, motores de búsqueda, redes sociales), fabricación, servicios postales, y más. Consulte la Directiva y las transposiciones nacionales para conocer los detalles.

¿Cuál es el plazo para cumplir la normativa NIS2?

Los Estados miembros de la UE deben adoptar y publicar las medidas necesarias para cumplir la Directiva NIS2 antes del 17 de octubre de 2024. Las organizaciones incluidas en el ámbito de aplicación deberán estar en conformidad en el momento en que entren en vigor las leyes nacionales.

¿Cuál es la principal diferencia entre NIS1 y NIS2?

La NIS2 amplía significativamente el ámbito de aplicación (más sectores, obligatoriedad para entidades medianas/grandes), impone requisitos de seguridad e información más estrictos (incluidas medidas mínimas específicas y plazos estrictos), refuerza la supervisión y el cumplimiento (multas más elevadas, responsabilidad de la dirección) y persigue una mayor armonización entre los Estados miembros.

¿Qué relación guarda el NIS2 con el GDPR?

Son complementarios. El RGPD se centra en la protección de los datos personales. NIS2 se centra en la ciberseguridad de los sistemas de red e información utilizados para prestar servicios esenciales/importantes (que a menudo procesan datos personales). Cumplir los requisitos de seguridad de NIS2 ayuda a proteger los sistemas que contienen datos cubiertos por el GDPR. Los informes sobre violaciones de NIS2 se centran en la interrupción del servicio, mientras que el GDPR se centra en los riesgos para las personas derivados de las violaciones de datos personales.

¿Qué relación guarda NIS2 con DORA o la Ley de Ciberresiliencia (CRA)?

Forman parte de la estrategia digital más amplia de la UE, a menudo coincidente pero con distintos enfoques:

• NIS2: Amplia base de ciberseguridad para sectores esenciales/importantes.
• DORA: Requisitos específicos de resistencia operativa digital para el sector financiero. DORA es lex specialis, lo que significa que las entidades financieras siguen DORA donde se solapa con NIS2.
• CRA: se centra en los requisitos de ciberseguridad de los productos con elementos digitales (hardware/software) comercializados en la UE a lo largo de su ciclo de vida. Su objetivo es colaborar para crear capas de seguridad.

¿Existe una certificación NIS2?

La Directiva fomenta el uso de sistemas europeos de certificación de la ciberseguridad (basados en la Ley de Ciberseguridad de la UE) para demostrar el cumplimiento, pero no impone un "certificado NIS2" específico en sí. Su cumplimiento será supervisado y exigido por las autoridades nacionales competentes.

¿Qué constituye un "incidente significativo" que deba notificarse con arreglo a NIS2?

Un incidente se considera significativo si

a) cause o pueda causar graves trastornos operativos o pérdidas financieras a la entidad en cuestión;

b) afecte o pueda afectar a otras personas físicas o jurídicas causándoles un perjuicio material o moral considerable.

Las autoridades nacionales proporcionarán más orientaciones.