Publicada la Directiva NIS2 relativa a medidas de ciberseguridad
La Directiva (UE) 2022/2555, conocida como NIS2, establece principalmente obligaciones de ciberseguridad para los Estados miembros y medidas para la gestión de riesgos de ciberseguridad y obligaciones de notificación para las entidades en su ámbito de aplicación.
Como hemos reiterado varias veces, también en este blog, la evolución de la tecnología, en particular las herramientas de inteligencia artificial, la conexión continua de todos los dispositivos privados y profesionales y la modalidad de trabajo remoto, que fue aceptada durante la pandemia, implican un riesgo cibernético cada vez mayor.
A todo se suma la compleja situación geopolítica global, que cada vez más a menudo tiene consecuencias muy peligrosas en la red: los ciberataques patrocinados por Estados, el espionaje cibernético y la guerra cibernética no son en absoluto novedades, ya que las tensiones y conflictos globales se manifiestan cada vez más en el ámbito digital. Todo esto acompañado por una creciente profesionalización del sector del cibercrimen.
Un conjunto explosivo que aumenta enormemente el riesgo de ataques a sectores esenciales: energía, educación, salud, administración pública, transporte, medios de comunicación y telecomunicaciones.
Todos estos ámbitos ciertamente no pueden permitirse interrumpir sus actividades o poner en peligro su valioso patrimonio de datos y, precisamente por eso, son objetivos muy interesantes y lucrativos para la criminalidad.
Una fuerte aceleración del riesgo que ha obligado a la Unión Europea a revisar profundamente la anterior Directiva NIS del 2016, implementada en Europa, considerada por muchos como deficiente, emitiendo así la NIS2.
Objetivos y acciones previstos por la NIS2
La nueva directiva representa un paso necesario en el campo de la resiliencia digital y la gestión de amenazas.
No se limita a fortalecer la seguridad cibernética, sino que pretende trazar un plan de acción para garantizar operaciones comerciales ininterrumpidas y promover una fuerza laboral adecuadamente capacitada y capaz de asegurar una postura digital adecuada en cualquier organización laboral.
Esto se logra persiguiendo una serie de objetivos que van desde la ampliación del ámbito de aplicación hasta la eliminación de la diferenciación, ya obsoleta, entre operadores de servicios esenciales y proveedores de servicios digitales, desde la mejora de la coordinación en términos de medidas de seguridad previstas y recursos disponibles para las autoridades de control hasta la reducción de la discrecionalidad de los Estados miembros.
Medidas de ciberseguridad requeridas por NIS2
- Análisis de riesgos y políticas de seguridad de la información
- Gestión exhaustiva de incidentes
- Planificación de crisis y de la continuidad del negocio
- Sólida seguridad de la cadena de suministro
- Seguridad de red empresarial
- Gestión y divulgación de vulnerabilidades
- Políticas y procedimientos que evalúan la eficacia de la gestión de riesgos de ciberseguridad
- Uso de criptografía y cifrado
Sujetos y sectores involucrados en la NIS2
Una de las novedades más importantes introducidas por la Directiva NIS2 es el amplio espectro de sectores mercantiles involucrados.
Se abandona la distinción, considerada obsoleta, entre Operadores de Servicios Esenciales y Proveedores de Servicios Digitales, a favor de la distinción entre:
Sujetos Esenciales (los sujetos de sectores de alta criticidad como por ejemplo, administraciones públicas y empresas que se ocupan de energía, transporte, sector bancario, sector sanitario, infraestructuras digitales, etc.);
y Sujetos Importantes (todos los sujetos de otros sectores críticos, de tamaño de mediana empresa en adelante, como por ejemplo los servicios postales y de mensajería, gestión de residuos, proveedores de servicios digitales, etc.).
El ámbito de aplicación de la NIS2 se extiende así a otras entidades, incluyendo sectores como la producción química, fabricación de dispositivos médicos, procesamiento de alimentos y servicios de redes sociales, que no estaban bajo la jurisdicción de la NIS.
Aunque estas clasificaciones comparten obligaciones similares, las entidades esenciales estarán sujetas a un control normativo más estricto y a acciones ejecutivas.
De acuerdo con los criterios de dimensionamiento, todas las grandes empresas de los sectores identificados están automáticamente involucradas, es decir, aquellas con más de 250 empleados o un ingreso anual superior a 50 millones de euros o un balance total anual superior a 43 millones de euros.
También están involucradas las medianas empresas, es decir, aquellas con un número de empleados entre 50 y 250 o un ingreso anual o un balance total anual entre 10 y 50 millones de euros o con un balance total anual no superior a 43 millones de euros, que operan en los sectores identificados.
Existen criterios diferentes para la identificación de las Administraciones Públicas, que dejan más espacio de evaluación a los Estados miembros en el momento de la transposición. Además, se añaden algunas categorías específicas de sujetos, incluyendo pequeñas empresas, identificadas de manera más puntual en la Directiva.
Como resultado, se amplía significativamente el grupo de sujetos afectados por la Directiva:según las estimaciones presentadas por la Comisión Europea, aproximadamente 110,000 organizaciones estarán directamente involucradas, divididas, aproximadamente, en 67,000 sujetos esenciales y 43,000 sujetos importantes. También son importantes, por supuesto, los efectos en la cadena de suministro.
La protección de la Cadena de Bloques
La nueva directiva requiere que las organizaciones se ocupen de la seguridad de la cadena de suministro, incluidos los riesgos creados por las relaciones con los proveedores.
Este último aspecto es crucial, ya que muchos ataques ocurren debido a vulnerabilidades de terceros proveedores. Por lo tanto, las organizaciones deben evaluar la calidad y la resistencia de los productos y servicios que utilizan para asegurarse de que no constituyan un punto débil para los proveedores de servicios esenciales. También es importante que las organizaciones evalúen cómo gestionan la seguridad cibernética sus proveedores externos y si las medidas que utilizan son lo suficientemente sólidas para proteger toda la cadena de suministro.
Para garantizar un nivel común de seguridad cibernética con todos los proveedores y reducir las posibilidades de incidentes cibernéticos, los proveedores de servicios esenciales deben incluir las medidas requeridas en los contratos con los proveedores externos.
Cooperación y coordinación a nivel europeo: EU-CyCLONe
La Directiva NIS2 otorga gran importancia a la cooperación entre los Estados miembros.
Se prevé la creación de la Organización EU-CyCLONe, compuesta por representantes de los países de la UE encargados de gestionar las crisis informáticas y, si es necesario, por representantes de la Comisión Europea.
El objetivo principal de EU-CyCLONe es coordinar la forma en que los diferentes países abordan los principales problemas de seguridad, asegurando que estén bien preparados para manejar incidentes y crisis informáticas; que se desarrolle una comprensión compartida de lo que sucede durante estos incidentes y crisis; que se evalúe adecuadamente el impacto de los incidentes; y que los líderes políticos sean guiados para tomar las mejores decisiones al respecto.
EU-CyCLONe informará regularmente al grupo de cooperación sobre los principales incidentes y tendencias en materia de seguridad cibernética, especialmente aquellos que afecten a organizaciones y servicios esenciales.
Antes del 17 de julio de 2024, y posteriormente cada 18 meses, la organización presentará un informe al Parlamento Europeo y al Consejo, detallando sus actividades recientes.
Emergencias
Para garantizar una respuesta rápida, la NIS2 establece que las organizaciones afectadas deben enviar una notificación oportuna al Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT), o a una autoridad nacional competente, dentro de las 24 horas posteriores a la ocurrencia de un incidente cibernético significativo, es decir, aquel que cause una interrupción grave de los procesos o una pérdida financiera para la organización, o que cause un daño material o inmaterial considerable a otra persona. Si es necesario, las organizaciones también pueden solicitar asistencia para implementar medidas de mitigación. Las autoridades responderán a la notificación, brindarán orientación sobre cómo manejar el incidente e informarán a otros países afectados, si es necesario.
Dentro de las 72 horas posteriores a conocer el incidente, la organización afectada debe proporcionar detalles sobre el ataque y una evaluación inicial del daño. Finalmente, dentro de un mes desde la notificación del incidente, la organización afectada debe presentar un informe con una descripción detallada de la gravedad, el impacto, la causa principal y las medidas de mitigación aplicadas por la organización.
Ciberhigiene
Con las amenazas cibernéticas cada vez más complejas y sofisticadas, es fundamental que las organizaciones mantengan un nivel básico de prácticas de seguridad y ciberhigiene para proteger las infraestructuras esenciales: actualizaciones regulares de software y hardware, cambios periódicos de contraseñas, gestión de nuevas instalaciones, restricciones de cuentas de acceso a nivel de administrador y copias de seguridad de datos.
Además, dado que muchos ataques ocurren a través de dispositivos conectados, la capacitación de los empleados y la concientización de los usuarios sobre las amenazas cibernéticas comunes son fundamentales para fortalecer la cadena de seguridad.