La Directiva NIS2 sobre seguridad de las redes y sistemas de información es el marco legislativo de la Unión Europea diseñado para alcanzar un elevado nivel común de ciberseguridad en toda la Unión, superando las limitaciones de la normativa anterior de 2016. A continuación, se detallan sus contenidos más significativos:
1. Ámbito de aplicación y categorización de entidades
La norma elimina la distinción anterior entre operadores de servicios esenciales y proveedores de servicios digitales. En su lugar, utiliza un criterio basado en el tamaño y el sector de actividad:
- Alcance general: Se aplica a todas las entidades medianas y grandes que operan en sectores críticos.
- Entidades esenciales e importantes: La directiva clasifica a las organizaciones en estas dos categorías en función de su criticidad y tamaño. Las entidades esenciales (como energía, banca o salud) están sujetas a una supervisión más estricta a priori y a posteriori, mientras que las importantes suelen recibir una supervisión reactiva.
- Sectores críticos: Incluye desde sectores de alta criticidad (energía, transporte, banca, salud, infraestructura digital) hasta otros sectores como servicios postales, gestión de residuos y fabricación.
2. Gobernanza y responsabilidad de la dirección
Uno de los cambios más profundos es la implicación directa de la alta dirección:
- Aprobación y supervisión: Los órganos de dirección deben aprobar las medidas de gestión de riesgos de ciberseguridad y supervisar su aplicación.
- Responsabilidad directa: Los directivos son responsables de los incumplimientos de la entidad en materia de gestión de riesgos.
- Capacitación obligatoria: Se exige a los miembros de los órganos de dirección asistir a formaciones periódicas para identificar riesgos y evaluar las prácticas de gestión.
3. Medidas para la gestión de riesgos
Las entidades deben implementar medidas técnicas, operativas y de organización proporcionales al riesgo planteado. Los elementos mínimos obligatorios incluyen:
- Políticas de seguridad: Análisis de riesgos y seguridad de los sistemas de información.
- Continuidad del negocio: Gestión de copias de seguridad, recuperación ante desastres y gestión de crisis.
- Seguridad de la cadena de suministro: Las empresas deben evaluar la calidad y las prácticas de ciberseguridad de sus proveedores directos e incorporar medidas de seguridad en sus contratos.
- Cifrado y autenticación: Uso de criptografía y soluciones de autenticación multifactorial.
4. Obligaciones de notificación de incidentes
La norma establece un proceso de notificación en varias etapas para incidentes que tengan un impacto significativo:
- Alerta temprana: En un plazo de 24 horas tras tener conocimiento del incidente significativo.
- Notificación del incidente: En un plazo de 72 horas, incluyendo una evaluación inicial de gravedad e impacto.
- Informe final: En un plazo de un mes tras la notificación del incidente.
5. Supervisión y sanciones administrativas
Para garantizar el cumplimiento, la Directiva dota a las autoridades nacionales de poderes de ejecución y fija multas disuasorias:
- Multas para entidades esenciales: Hasta un máximo de 10.000.000 EUR o el 2 % del volumen de negocios anual total a nivel mundial, lo que sea de mayor cuantía.
- Multas para entidades importantes: Hasta 7.000.000 EUR o el 1,4 % del volumen de negocios anual total.
- Medidas adicionales: Las autoridades pueden suspender temporalmente certificaciones o prohibir el ejercicio de funciones directivas a los responsables en casos de infracciones graves.
6. Cooperación y estrategia Nacional
Cada Estado miembro debe adoptar una estrategia nacional de ciberseguridad y designar autoridades competentes, puntos de contacto únicos y Equipos de Respuesta a Incidentes de Seguridad Informática (CSIRT). A nivel de la Unión, se refuerza la cooperación estratégica a través del Grupo de Cooperación y la red de CSIRT.