Retraso en la trasposición de la Directiva “NIS 2” en España

La Directiva (UE) 2022/2555, en vigor desde el 16 de enero de 2023 y conocida como "NIS 2", representa un avance en la política de ciberseguridad que hay actualmente en la Unión Europea (UE). Esta normativa sustituye a la anterior Directiva NIS (UE) 2016/1148 y busca fortalecer el marco comunitario de ciberseguridad.

Su objetivo principal es proporcionar a las entidades que operan en la UE herramientas y directrices para gestionar eficazmente los riesgos cibernéticos, en línea con el entorno digital en constante cambio.

El cambio más importante es que la nueva normativa quiere homogeneizar las obligaciones en materia de ciberseguridad, para que abarque no solo a grandes empresas sino también a las pymes, siempre que estén en los sectores indicados en la Directiva. ¡Y esto afecta a muchos de nuestros lectores!

El problema es que las Directivas europeas deben transponerse al derecho nacional, y hace casi un mes que terminó el límite para que España traspusiese en su legislación nacional la NIS2 (el 17 de octubre!). Eso hace que las empresas españolas aún no tengan un marco legislativo nacional que permita adaptarse de forma más concreta, ya que las Directivas tienden a ser muy generalistas.

Principales novedades de la Directiva NIS 2

1. Ampliación del ámbito de aplicación: NIS 2 ya incluye no solo a las grandes entidades, sino también a pequeñas y microempresas que ofrezcan sus servicios en la infraestructura digital. Desde proveedores de redes públicas a administraciones locales y centros de enseñanza, si los Estados Miembros lo consideran necesario.

2. Entidades sujetas: Las entidades se clasifican en dos categorías, esenciales e importantes, en función de su criticidad y del impacto que podrían tener en la seguridad nacional y comunitaria. Además ahora las entidades sujetas a NIS 2 deben informar de inmediato a las autoridades pertinentes sobre cualquier incidente con un “impacto significativo”. Y si uno de los servicios afectados es esencial se deberá comunicar a los usuarios. En este sentido, podemos observar como la UE avanza hacía un mercado interior más seguro, especialmente para los consumidores, ya que el nuevo Reglamento de la Seguridad de los Productos también prevé esta transparencia con los usuarios. Si quieres saber más sobre esto, puedes leer nuestro último artículo al respecto.

3. Más sectores involucrados: La normativa diferencia ahora entre dos categorías de sectores: los sectores de alta criticidad (Anexo I de la Directiva) y otros sectores críticos (Anexo II). Entre ellos se incluyen transporte de gas, agua potable, sector sanitario, laboratorios, gestión de servicios TIC B2B, entre otros.

¿Qué medidas de ciberseguridad se añaden?

La normativa establece un conjunto de medidas técnicas, operativas y organizativas que deben implementarse para gestionar los riesgos de ciberseguridad. Entre estas medidas se incluyen * Políticas de seguridad * Análisis de riesgos * Gestión de incidentes * Políticas de evaluación periódica * Prácticas de “ciberhigiene”. * Notificación de incidentes: Las entidades sujetas a NIS 2 deben informar de inmediato a las autoridades pertinentes sobre cualquier incidente con un “impacto significativo”. Además, si un servicio esencial se ve afectado, se deberá notificar también a los usuarios.

Implicaciones para empresas y proveedores

Aunque una empresa no esté directamente sujeta a NIS 2, puede verse afectada si es proveedor de una entidad que sí lo esté. En estos casos, es probable que los clientes exijan certificaciones o evaluaciones de seguridad, dado que la cadena de suministro debe estar a la altura de los requisitos de ciberseguridad. Por otro lado, los Estados Miembros de la UE tendrán la responsabilidad de crear listas de empresas sujetas a NIS 2, con la opción de permitir el autoregistro. Quienes también amplían sus responsabilidades son los órganos de dirección de las entidades afectadas, que a partir de ahora deberán: * Aprobar la adecuación de las medidas de gestión de riesgos de ciberseguridad. * Supervisar la implementación de estas medidas. * Responder ante incumplimientos de la normativa.

¿Qué pasa si una entidad sujeta no cumple?

La Directiva NIS 2 introduce un régimen de sanciones más severo para garantizar el cumplimiento. Las entidades esenciales pueden enfrentarse a multas de hasta 10 millones de euros o el 2% de su volumen de negocios anual. Para las entidades importantes, las sanciones pueden alcanzar los 7 millones de euros o el 1,4% del volumen de negocios anual.

¿Cómo cumplir por ahora?

Para cumplir con el requisito de gestión de riesgos, el más importante de NIS 2 (artículo 21), las entidades pueden basarse en normativas internacionales como ISO 27001 y el ENS , que ayuda a implementar medidas de gestión de riesgos alineadas con las disposiciones de NIS 2. Las diferencias con la NIS2 son pocas, no hay ningún cambio exagerado, pero sí es importante que si afecta a tu empresa deberás cambiar tus procesos de gestión para que, una vez traspuesta la Directiva, ya estés en cumplimiento. En España, tanto la ISO 27001 como el Esquema Nacional de Seguridad (ENS) es una alternativa recomendada, especialmente si la certificación en ENS cubre las actividades que realiza la entidad. Sin embargo, aquellas certificadas en ENS en categorías medias o básicas probablemente necesitarán adaptar sus prácticas para cumplir con NIS 2.

Conclusión

NIS 2 supone un cambio significativo en la ciberseguridad y la resiliencia de las entidades frente a las ciberamenazas. La normativa no solo impone requisitos más estrictos, sino que también fomenta un enfoque proactivo en la prevención de incidentes. Las entidades que logren adaptarse a este marco no solo protegerán mejor sus activos y datos, sino que contribuirán a fortalecer el ecosistema digital europeo en su conjunto. Desde Lawwwing estaremos atentos a los cambios que lleve consigo la Directiva una vez traspuesta en la normativa española, con nosotros estás a salvo!