Analytics

martes, 7 de febrero de 2023

Desentrañando las principales novedades de la Directiva NIS2

Desde el año 2013, la Unión Europea está construyendo y fortificando su estrategia de ciberseguridad a fin de asegurar que redes y sistemas de información, ubicados en los Estados miembros, estén protegidos ante potenciales ciberataques.

Fue el 19 de julio de 2016 cuando, en vistas de un escenario de amenazas cibernéticas in crescendo, el Parlamento Europeo y el Consejo de la Unión Europea dieron un gran paso a favor de la defensa tecnológica publicando la Directiva (UE) 2016/1148 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, comúnmente conocida como Directiva NIS, por las siglas en inglés “Network and Information Security”.

Como la práctica lleva a la excelencia, con la implementación de dicha Directiva se vislumbró una necesidad de mejora del propio documento, ya que, se identificaron dificultades para llegar al teórico nivel común de seguridad en todos los Estados miembros.Con el objetivo de llegar a dicho nivel de seguridad, el 27 de diciembre de 2022 se publicó en el Diario Oficial de la Unión la Directiva NIS2, por la que se modificó el Reglamento (UE) nº910/2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónica en el mercado interior, y la Directiva (UE) 2018/1972 por la que se establece el Código Europeo de las Comunicaciones Electrónicas, y por la que se derogó la anterior Directiva NIS.

Pero no solamente el deseo de llegar a ejecutar un nivel común de seguridad en todos los Estados miembros justifica la publicación de esta versión de la Directiva, sino también, un compendio de novedades introducidas.

Principales novedades introducidas

La Directiva NIS2 conlleva varios cambios y novedades respecto a su predecesora, acorde con los avances tecnológicos y organizativos que se han producido a nivel mundial. Dichas novedades pueden ser agrupadas de la forma siguiente:

  • La importancia del CISO
  • Un alcance ampliado
  • El pilar fundamental: las personas y su formación
  • La cadena de suministro: un elemento más a considerar
  • Refuerzo de las medidas de seguridad
  • Gestión de incidentes: la notificación

La importancia del CISO

El Responsable de Seguridad de la Información (comúnmente conocido como CISO – del inglés, Chief Information Security Officer –) es el máximo responsable en ciberseguridad de una organización y el encargado de definir la estrategia a seguir en dicho ámbito y juntar todas las piezas necesarias para lograr materializar unos objetivos marcados, en base a unos niveles de riesgo evaluados y promoviendo una cultura de seguridad de la información para toda la organización.

Las responsabilidades del CISO son de temática muy dispar, considerando varios dominios a su alcance como el estratégico, cumplimiento normativo y legal, gestión de riesgos, operativo, entre otros. Y en su día a día es el responsable de que sean identificados todos los potenciales riesgos de ciberseguridad, a fin de proteger las redes y sistemas de la organización y, en caso de incidente, poder detectarlo lo antes posible con el objetivo de responder y recuperar el funcionamiento operativo de una organización a sus niveles óptimos.


Son de tal importancia las responsabilidades otorgadas al CISO, que reglamentos, estándares y mejores prácticas del sector han promovido su valor y necesidad en cualquier organización. Y la Directiva NIS2 no ha sido una excepción, puntualizando la necesidad de que el liderazgo de la seguridad de la información de una organización deba ser tomado por el CISO junto al Consejo de Administración, ya que dicho Consejo puede nombrar a uno de sus miembros como Responsable de Seguridad de la Información (CISO).

Este hecho fomenta que se potencie aún más la figura del CISO dentro del propio Consejo de Administración, tal y como se expone en El Libro Blanco del CISO (Segunda Edición) en su “Modelo 4: El CISO dentro de la alta dirección”, facilitando que la figura del CISO tenga una mayor libertad y protagonismo respecto a decisiones cruciales de ciberseguridad, decisiones de las que toda la sociedad saldrá beneficiada.

Un alcance ampliado

Mientras que en la anterior versión de la Directiva cada organización tenía que esperar a ser nombrada por la Administración de cada Estado para que le fuera aplicable la Directiva NIS, en la presente Directiva NIS2, los criterios para determinar qué organizaciones entran dentro del alcance se han simplificado a favor de que puedan ser también las propias organizaciones las responsables de autoevaluarse y determinar su grado de implicación, con el objetivo de agilizar el proceso de categorización de organizaciones dentro del alcance.
Con todo ello, la Directiva NIS2 distingue dos grandes grupos de organizaciones:

  • Aquellas que proporcionan un servicio esencial (siendo denominadas empresas/operadores esenciales), y
  • Aquellas que proporcionan un servicio importante (siendo denominadas empresas/operadores importantes).

La distinción específica entre un tipo de empresas u otro se desarrolla en el artículo 3 de la Directiva.

Imagen de ijeab en Freepik

Cabe destacar que aquellas organizaciones denominadas como operadores esenciales deberán cumplir unos requerimientos más estrictos en comparación con los operadores importantes.

Cada caso y organización debe ser analizada, sin embargo, a grandes rasgos la Directiva NIS2 es de aplicabilidad – en mayor o menor nivel – a organizaciones dentro de los siguientes sectores:

  • Energía (electricidad; sistemas urbanos de calefacción y de refrigeración; crudo; gas; hidrógeno)
  • Transporte (aéreo; por ferrocarril; marítimo y fluvial; por carretera)
  • Banca
  • Infraestructuras de los mercados financieros
  • Sanitario
  • Agua potable
  • Aguas residuales
  • Infraestructura digital
  • Gestión de servicios de TIC (de empresa a empresa)
  • Entidades de la Administración pública (con exclusión del poder judicial, los parlamentos y los bancos centrales)
  • Espacio
  • Servicios postales y de mensajería
  • Gestión de residuos
  • Fabricación, producción y distribución de sustancias y mezclas químicas
  • Producción, transformación y distribución de alimentos
  • Fabricación (productos sanitarios; productos informáticos, electrónicos y ópticos; material eléctrico; maquinaria y equipo n.c.o.p; vehículos de motor, remolques y semirremolques; otro material de transporte)
  • Proveedores de servicios digitales
  • Investigación

De todos ellos, los nuevos sectores que incorpora la Directiva NIS2 son: fabricantes, comida, correo y mensajería, proveedores de redes o servicios públicos de comunicaciones electrónicas, espacio, administraciones públicas, servicios digitales, aguas residuales y gestión de residuos.

Por otro lado, independientemente de estos sectores y el tamaño de las organizaciones, los Estados miembros pueden nombrar a cualquier organización como operador esencial o importante si así se cree necesario; teniendo en cuenta la relevancia de sus actividades para la sociedad, la economía o para determinados sectores o tipos de servicios.

El pilar fundamental: las personas y su formación

Desde que se implementan culturas ciberseguras en organizaciones se ha destacado que uno de los eslabones más vulnerables dentro de una organización pero que, al mismo tiempo, puede ser uno de los más resistentes ha sido las personas, y en ello incide también la Directiva NIS2. Haciendo hincapié en que todas y cada una de las personas que formen parte de una organización estén adecuadamente capacitadas en materia de ciberseguridad, incluidos los Consejos de Administración, ya que serán estos los responsables de aprobar las medidas de seguridad de la información que se vayan a implementar en su organización; lo cual justifica aún más que el CISO esté ubicado dentro de dicho Consejo.


Si, el Consejo de Administración está capacitado en temas de ciberseguridad significa que el mismo facilitará la aplicación de iniciativas de seguridad de la información desde un primer momento dentro de las organizaciones, pudiendo destinar un mayor presupuesto a securizar redes y sistemas, y a ampliar el nivel de cultura y madurez en ciberseguridad de la organización; todo ello como consecuencia de la toma de conciencia previa llevada a cabo.

La cadena de suministro: un elemento más a considerar

Además de nuevos sectores y la posibilidad de añadir organizaciones de todo tipo de tamaño (incluidas pequeñas empresas e incluso microempresas), la Directiva NIS2 incluye el factor de la cadena de suministro y, ello conlleva que determinadas organizaciones no solamente consideren a la ciberseguridad como algo interno y a prosperar dentro de sus fronteras, sino también algo a tener en cuenta de cara a externos a los que suministren determinados servicios y/o productos.

Imagen de tawatchai07 en Freepik

Asimismo, las organizaciones a la hora de decidir en qué compañías confiar, el cumplimiento o incumplimiento de determinados requerimientos establecidos por NIS2 será uno de los criterios base para tomar dicha decisión.

Refuerzo de las medidas de seguridad

La Directiva NIS2, así como lo llevan haciendo otros estándares del sector de la seguridad de la información, distingue varios tipos de medidas: organizativas, tecnológicas, y aplicables a personas.


Dentro de las medidas organizativas se insiste en la importancia de que toda organización elabore y apruebe la Política de seguridad de la información, a través de la cual se apoyen el resto de las políticas, procedimientos y directrices de ciberseguridad de la organización como si de un paraguas se tratase.

En segundo lugar, la Directiva NIS2 otorga también un espacio necesario a la evaluación y gestión de riesgos. Y, en cualquier caso, si no se implementan las medidas de seguridad adecuadas para mitigar los riesgos identificados, puede atribuirse una responsabilidad legal a las organizaciones.

Gestión de incidentes: la notificación

Mediante la implementación de la Directiva NIS2 se busca formalizar y reforzar aún más: (1) la notificación de incidentes o cuasiincidentes con impactos nacionales a través del CSIRT nacional e impactos transfronterizos a través de una red de CSIRT; (2) la gestión de incidentes y crisis de ciberseguridad a través de la Red europea de organizaciones de enlace para las crisis de ciberseguridad (denominada como EU-CyCLONe); y (3) el intercambio de inteligencia sobre potenciales amenazas, vulnerabilidades, ataques, salvaguardas, etc. a través de un Grupo de Cooperación especializado. De igual forma se busca en determinados escenarios que las organizaciones notifiquen y actualicen el estado de la situación de un incidente al público afectado por el mismo.


Paralelamente, se le da un mayor protagonismo a la Agencia de la Unión Europea para la Ciberseguridad (ENISA), y se establecen una serie de pautas a seguir en beneficio de una mayor cooperación y colaboración entre entidades público-privadas y Estados miembros.

Próximos pasos

A nivel del Estado español, la entrada en vigor de la Directiva NIS2 despierta la necesidad de actualizar/derogar el Real Decreto-ley 12/2018 de seguridad de las redes y sistemas de información, y la modificación del Real Decreto 43/2021 por el que se desarrolla el anterior. Aunque a esperas de dichas modificaciones, la Directiva NI2 ya es de aplicabilidad para todas aquellas organizaciones de los Estados miembros dentro de su alcance.

Referencias


Autor: Albert Moner - ISO 27001 L.A.
Dpto. Consultoría