¿Cómo podemos ayudarte desde SmartHC respecto a la Dtva. NIS2?
Evolución normativa en la Ciberseguridad. De la Directiva NIS a la NIS2.
La Comisión Europea, consciente de la importancia de las redes y sistemas de información en la sociedad, tiene como objetivo reforzar la seguridad de éstas. Así viene mejorando los aspectos regulatorios que afectan a la ciberseguridad, tanto en ámbito público como privado. Esta regulación se enmarca en la Directiva (UE) 2016/1148, seguridad redes y sistemas de información en la Unión, conocida como la Directiva NIS.
Sin embargo, por la rápida y constante evolución que experimentan esas redes y sistemas de información, esta normativa ha quedado desfasada. Así, la Comisión Europea entiende necesaria la actualización de las pautas normativas en ciberseguridad, propuesta a través de la Directiva (UE) medidas destinadas a garantizar un elevado nivel común de ciberseguridad y por la que se deroga la Directiva (UE) 2016/1148, bautizada como Directiva NIS2.
Sirva este artículo como análisis del panorama normativo – actual y futuro – de la ciberseguridad, en el contexto del mercado interior europeo.
Alcance de la Directiva (EU) NIS en España.
El objeto de la Directiva NIS – Network and Information Systems – es “establecer medidas para lograr un elevado nivel común de seguridad en redes y sistemas de información, dentro de la Unión, a fin de mejorar el funcionamiento del mercado interior”.
En España, la Directiva NIS se integra en nuestro ordenamiento jurídico con el Real Decreto-ley 12/2018, de seguridad de las redes y sistemas de información, que mejorando los mecanismos de protección frente a amenazas, se erige como la primera norma española en regular la seguridad lógica de redes y sistemas de información vinculadas a los servicios esenciales;
-Operadores de servicios esenciales (OES) que, en España, se clasifican en la Ley 8/2011, por la que se establecen medidas para la protección de las infraestructuras críticas (LPIC)
– Proveedores de servicios digitales (DSP) entidades que, sin ser PYME, prestan un servicio digital; mercados online, motores de búsqueda o computación en nube.
Este Real Decreto-ley 12/18 se complementa con el Real Decreto 43/2021, de 26 de enero, que establece mecanismos de supervisión de las obligaciones para los OES y DSP, en ámbito de seguridad, así como la gestión de estos ante incidentes de seguridad, definiendo las principales obligaciones y procedimientos en situaciones de riesgo.
A tal propósito, determina que la figura del responsable de seguridad de información (RSI), como responsable de tales fines, deberá contar con capacidades, aptitudes y dotación muy concretas.
Ciberseguridad; evolución normativa. ¿Qué cabe esperar de la NIS2?
La necesidad de actualizar y armonizar, para toda la Unión Europea, l a normativa en toda Europa, plantea un nuevo escenario en el ámbito de la ciberseguridad, por el que el Parlamento Europeo y la Comisión Europea han alcanzado un acuerdo para la nueva adaptación y resiliencia de las entidades frente a ésta.
Esa evolución viene de la mano de la Directiva NIS2, propuesta de revisión y amplificación la Directiva NIS1, que incluye pautas de actuación y obligaciones de entidades en la gestión de riesgos en materia de ciberseguridad.
La propuesta de la Directiva NIS2 resalta la importancia que tendrá esta regulación en la ciberseguridad, y pretende – transversalmente – sentar las bases normativas para garantizar que, incluso con la futura legislación sectorial, no se modifiquen sus directrices, asegurando coherencia entre los distintos marcos regulatorios, algo que ya se evidencia en la alineación de la Directiva NIS2 con el Reglamento sobre la resiliencia operativa digital para el sector financiero (DORA), así como con la Directiva sobre la resiliencia de las entidades críticas (CER).
El objetivo principal de la Directiva NIS2 es eliminar las diferencias que existen, entre los distintos estados miembros, en la aplicación de requisitos y medidas de contexto ciberseguridad, estableciéndose normas mínimas y mecanismos para una cooperación entre autoridades. De esta forma, se establecerá la Red Europea de Organización de Enlace de Crisis Cibernéticas (EU-CYCLONe) mejorando la coordinación de gestión en incidentes de ciberseguridad a gran escala.
Esta regulación incidirá a entidades de los sectores público y privado, y al conjunto de la Unión Europea. Sin embargo, no afectará a entidades con actividad en terreno de seguridad pública, policial, defensa o seguridad nacional, ni a Parlamentos o Bancos Centrales de estados miembros.
Contenido de la nueva Directiva NIS2
Las principales novedades de ésta, respecto a su antecesora – la Directiva NIS1 -, son;
1. Ampliación de sectores a los que deberá aplicarse; energía, transporte, banca, sanidad, agua potable, administración pública, servicios postales, gestión residuos industria química, etc.
2. Promueve la cooperación público-privada (PPP de sus siglas en inglés, Public-Private-Partnerships) para el desarrollo de estrategias nacionales de los distintos estados miembros.
3. Se armonizar la normativa que regula la prevención, detección y respuesta a ciberataques. La Agencia de la Unión Europea para la Ciberseguridad (ENISA) será responsable de su promoción, entre los estados miembros.
4. Se establecen nuevos requisitos de seguridad como la respuesta ante incidentes, la seguridad de la cadena de suministro, el cifrado y la divulgación de vulnerabilidades.
5. La ciberseguridad pasaría a ser responsabilidad de los altos cargos directivos de la entidad, concretando sus aptitudes.
6. Los estados miembros establecerán el régimen sancionador, aplicable a las infracciones adoptadas en la Directiva, siendo las sanciones “efectivas, proporcionadas y disuasorias”.
Conclusión; Principales diferencias entre la Directiva NIS y la NIS2.
La Directiva NIS1 genera un marco legal de mínimos, fijando criterios que los estados miembros deben atender para legislar en el marco de la ciberseguridad, y disponiendo de mecanismos de respuesta ante incidentes de seguridad, a las entidades que desarrollan una actividad esencial.
En España, esta Directiva se transpone con el Real Decreto-ley 12/2018 y su Reglamento de desarrollo, Real Decreto 43/2021, que aportan mecanismos de mejora en la protección de entidades frente a las amenazas que afectan a las redes y sistemas de información, y establecen un marco institucional de coordinación en las actuaciones, tanto a nivel nacional como con los países de nuestro entorno, particularmente, dentro de la Unión Europea.
Las disposiciones de estas normas obligan a los operadores de servicios esenciales, entre los que se incluyen las infraestructuras críticas, a;
– designar a un Responsable de Seguridad de la Información (RSI),
– a implantar la gestión de los riesgos para las redes y los sistemas de información,
– a desarrollar políticas de seguridad,
– a notificar incidentes que puedan tener efectos perturbadores significativos en sus servicios, etc.
Sin embargo, la nueva realidad de la ciberseguridad hace necesario que la normativa evolucione, siendo ésta la tarea fundamental de la Directiva NIS2. Esta futura norma, aborda una nueva estrategia de la Comisión Europea en el ámbito de la ciberseguridad, lo que supone que las empresas tendrán que revisar y actualizar sus políticas y software de actuación, parchear vulneraciones e implementar medidas de gestión de riesgos, y notificar un eventual ciberataque.
De no ser atendidas estas disposiciones, las entidades obligadas serán susceptibles de ser sancionadas – con hasta 4 millones de euros o el 2% de los ingresos anuales de la empresa- .
¿Cómo podemos ayudarte desde SmartHC respecto a la Dtva. NIS2?
El equipo que integra Smart Human Capital está compuesto por auditores – técnicos y legales – que, como especialistas en evaluar los diferentes estándares de seguridad reconocidos en ámbito europeo, cuentan con amplia experiencia en la implementación de las mecanismos normativos, con independencia del sector en que ésta sea aplicada.
De esta forma, nuestro equipo multidisciplinar de profesionales podrá asistirle en la adopción de medidas contempladas en la Directiva NIS2, adaptando sus preceptos a las necesidades de su empresa; evaluando los riesgos de ésta en ciberseguridad, acompañándole en el desarrollo de los planes de respuesta ante ciberataques, brindándole asistencia en la notificación de estos, evitando incurrir en las eventuales sanciones previstas en la norma, etc.
Si desea obtener el informe completo o ampliar detalles de servicios, contáctanos
Smart Human Capital S.L.
Calle del Jazmín, 66, 28033 Madrid
+34 911 735 181
[email protected]