octubre 19, 2024

La Directiva NIS 2 ya es de directa aplicación sin que España la haya traspuesto

Compartir artículo

El pasado 17 de octubre fue el último día concedido por la Directiva NIS 2 para que se operara su trasposición por los Estados miembros de la UE. Como suele ser ya habitual, nuestro país no ha llevado a cabo esta trasposición, por lo que desde el pasado viernes 18 de octubre la Directiva se podrá aplicar directamente en España en base al efecto directo del Derecho Comunitario.

En base a este principio básica del efecto directo, cualquier particular puede invocar directamente el Derecho de la UE ante los tribunales nacionales y europeos, independientemente de que existan textos en el Derecho nacional. Este efecto directo se puede hacer valer tanto ante el Estado como ante el resto de particulares, siempre que las obligaciones que establezca la NIS 2 sean precisas, claras, incondicionales y no requieran de medidas complementarias, tanto de carácter nacional como europeo. Ademas, es posible que se impongan sanciones a España por no trasponer en plazo la normativa.

La Directiva NIS2 (Network and Information Systems) o SRI 2 (Seguridad de las redes y sistemas de información) es una legislación europea que busca fortalecer la ciberseguridad y la resiliencia de los sistemas de red e información en toda la Unión Europea. Esta directiva, que reemplaza a la anterior NIS, introduce cambios significativos en las obligaciones y responsabilidades de las organizaciones en relación con la seguridad cibernética. En el contexto de España, NIS2 tendrá un impacto profundo en diversos sectores, desde infraestructuras críticas hasta empresas privadas y operadores digitales.

Ampliación del ámbito de aplicación

Una de las principales diferencias entre la Directiva NIS original y NIS2 es la ampliación del ámbito de aplicación. NIS2 abarca un mayor número de sectores y tipos de entidades, incluyendo servicios públicos esenciales como la salud, el transporte, el suministro de agua y energía, así como ciertos proveedores de servicios digitales. En España, esto significa que más organizaciones deberán cumplir con los nuevos requisitos de ciberseguridad y notificación de incidentes.

No solo las grandes empresas, sino también las PYMES deberán cumplir la norma si son consideradas servicios esenciales o importantes, según los anexos de la NIS 2.

Gestión de riesgos y medidas de seguridad

NIS2 establece requisitos más estrictos para la gestión de riesgos y la implementación de medidas de seguridad adecuadas. Las organizaciones en España deberán llevar a cabo evaluaciones de riesgos periódicas y adoptar medidas técnicas y organizativas para gestionar estos riesgos de manera efectiva. Esto incluye la protección contra ciberataques, la gestión de vulnerabilidades y la implementación de planes de respuesta a incidentes.

Ademas, esta gestión de riesgos incluirá la gestión de riesgos de terceros, es decir, de nuestros proveedores, por lo que se nos exigirá una especial diligencia (culpa in eligendo) para asegurar que nuestros proveedores cumplen con las medidas necesarias y tienen unos niveles de seguridad aceptables. Estas exigencias en cadena van a provocar que cada vez sea más frecuente estar certificado en algun estándar como ISO 27001:2022 (Seguridad de la Información), ENS (esquema nacional de seguridad para empresas que trabajen con el sector público) o la ISO 27701 (Sistema de Gestión de Privacidad de la Información).

Notificación de incidentes

La directiva NIS2 también refuerza las obligaciones de notificación de incidentes. Las organizaciones deberán informar a las autoridades competentes sobre cualquier incidente significativo que pueda afectar la continuidad de los servicios esenciales. En España, esto implica una mayor colaboración y comunicación con el Instituto Nacional de Ciberseguridad (INCIBE) y otras autoridades relevantes.

Por tanto, la gestión de los incidentes de ciberseguridad será una cuestión capital, para lo que será necesario que las empresas hayan elaborado un plan de actuación para prevenir, detectar, responder y recuperarse ante los incidentes de ciberseguridad, que prevea acciones claras como la comunicación a clientes, medidas de mitigación, comunicación a las autoridades de control (INCIBE, AEPD, AESIA ….), y otras muchas cuestiones.

Políticas, Formación y Auditorías periódicas

Será esencial también para las empresas acreditar que han impartido formación en materia de ciberseguridad, así como disponer de políticas y procedimientos específicos: políticas de uso de sistemas de información por el personal, políticas de contraseñas, de copias de seguridad, de cifrado, de accesos, byod, de recuperación, de actualización de sistemas y parcheados, de gestión crisis, y medidas concretas y avanzadas de seguridad, como protección contra ataques de denegación de servicio (DDoS), doble factor de autenticación, etc.

Impacto en sectores clave

Infraestructuras críticas

Las infraestructuras críticas, como el suministro de energía, el transporte y las telecomunicaciones, son vitales para el funcionamiento de la sociedad y la economía española. La implementación de NIS2 asegurará que estas infraestructuras estén mejor protegidas contra ciberamenazas, reduciendo el riesgo de interrupciones y mejorando la resiliencia de los servicios esenciales.

Sector de la salud

El sector de la salud es otro ámbito que se verá significativamente afectado por NIS2. Los hospitales, clínicas y otros proveedores de servicios de salud deberán reforzar sus sistemas de seguridad cibernética para proteger los datos sensibles de los pacientes y garantizar la continuidad de los servicios. La directiva también fomenta la cooperación y el intercambio de información entre las entidades del sector salud, mejorando la capacidad de respuesta ante incidentes.

Empresas privadas y operadores digitales

Las empresas privadas y los operadores digitales en España también deberán adaptarse a los nuevos requisitos de NIS2. Esto incluye la implementación de medidas de seguridad adecuadas, la realización de auditorías periódicas y la notificación de incidentes. Las empresas que no cumplan con estos requisitos pueden enfrentar sanciones significativas, lo que subraya la importancia de la conformidad con la directiva.

En todo caso, la NIS2 da de plazo hasta el 17 de abril de 2025 para que los Estados miembros de la UE elaboren listas de entidades esenciales e importantes. Estas listas, posteriormente se actualizarán cuando menos cada dos años.

Consulta aquí el listado de entidades esenciales e importantes

Beneficios y desafíos

Mejora de la ciberseguridad

Uno de los principales beneficios de NIS2 es la mejora general de la ciberseguridad en España. Al exigir a las organizaciones que adopten medidas de seguridad más robustas y gestionen los riesgos de manera efectiva, la directiva contribuirá a reducir la incidencia de ciberataques y otros incidentes de seguridad.

Mayor resiliencia

La implementación de NIS2 también aumentará la resiliencia de los sistemas de red e información en España. Esto significa que las organizaciones estarán mejor preparadas para enfrentar y recuperarse de incidentes de ciberseguridad, minimizando el impacto en sus operaciones y en la sociedad en general.

Desafíos de implementación

A pesar de los beneficios, la implementación de NIS2 también presenta desafíos. Las organizaciones deberán invertir en nuevas tecnologías y procesos para cumplir con los requisitos de la directiva, lo que puede suponer un coste significativo. Además, la falta de recursos y personal especializado en ciberseguridad puede dificultar la adopción de las medidas necesarias.

Sanciones

Afortunadamente, la fecha límite para el establecimiento del cuadro de infracciones y la graducación de snaciones será el 17 de enero de 2025, por lo que en esa fecha debería estar nuestra Ley nacional de traposición ya publicada. En todo caso, la Directiva NIS 2 establece el siguiente elenco de sanciones que nuestra Ley deberá resperatar:

Las entidades esenciales podrán ser sancionadas, dependiendo de la infracción, con multas administrativas de un máximo de, al menos, 10.000.000 EUR o de un máximo de, al menos, el 2 % del volumen de negocios anual total a nivel mundial.
Las entidades importantes que incumplan determinadas obligaciones podrán ser sancionadas con multas administrativas de un máximo de, al menos, 7.000.000 EUR o de un máximo de, al menos, el 1,4 % del volumen de negocios anual total a nivel mundial de la empresa».

Conclusión

La Directiva NIS2 representa un paso importante hacia la mejora de la ciberseguridad y la resiliencia de los sistemas de red e información en España. Aunque la implementación de la directiva presenta desafíos, los beneficios en términos de reducción de riesgos y mejora de la resiliencia son significativos. Las organizaciones en España deberán tomar medidas proactivas para cumplir con los requisitos de NIS2, asegurando así la protección de los servicios esenciales y la continuidad de sus operaciones en un entorno digital cada vez más complejo y amenazante.

Aquí tienes un resumen de las principales acciones que deben llevar a cabo:

Gestión de riesgos de ciberseguridad: Las organizaciones deben implementar medidas técnicas, operativas y organizativas adecuadas para gestionar los riesgos que se planteen para la seguridad de los sistemas de redes y de información que utilizan en sus operaciones o en la prestación de sus servicios.
Notificación de incidentes: Las entidades deben informar a las autoridades competentes sobre cualquier incidente significativo que pueda afectar la continuidad de los servicios esenciales. Esto implica una mayor colaboración y comunicación con el Instituto Nacional de Ciberseguridad (INCIBE) y otras autoridades relevantes.
Seguridad de la cadena de suministro: Las organizaciones deben gestionar los riesgos de ciberseguridad de sus proveedores, asegurándose de que estos cumplan con las medidas necesarias y tengan niveles de seguridad aceptables.
Políticas y procedimientos de ciberseguridad: Las empresas deben disponer de políticas y procedimientos específicos, como políticas de uso de sistemas de información, políticas de contraseñas, de copias de seguridad, de cifrado, de accesos, de recuperación, de actualización de sistemas y parcheados, de gestión de crisis, y medidas concretas y avanzadas de seguridad.
Formación en ciberseguridad: Es esencial que las empresas acrediten que han impartido formación en materia de ciberseguridad a su personal.
Auditorías periódicas: Las organizaciones deben realizar auditorías periódicas de la seguridad para garantizar el cumplimiento continuo de las medidas de ciberseguridad.

Normas ejecutivas

La Comisión Europea ya ha adoptado un Reglamento de Ejecución de la Directiva NIS2 (Directiva (UE) 2022/2555.) que establece los requisitos técnicos y metodológicos de las medidas a que se refiere la SRI 2 con respecto a los proveedores de servicios DNS, los registros de nombres de dominios de primer nivel, los proveedores de servicios de computación en nube, los proveedores de servicios de centros de datos, los proveedores de redes de distribución de contenidos, los proveedores de servicios gestionados, los proveedores de servicios de seguridad gestionados, los proveedores de mercados en línea, de motores de búsqueda en línea y de plataformas de servicios de redes sociales, y los proveedores de servicios de confianza. Mas información aqui: Reglamento de Ejecución de la Directiva NIS2

Debemos recordar que NIS 2 entró en vigor el 16 de enero de 2023, aunque se ha dado un plazo de casi dos años para trasponer la normativa.

Son muy pocos los estados miembros que han traspuesto en plazo la normativa (ver https://digital-strategy.ec.europa.eu/es/policies/nis-transposition). Hasta la fecha, solo 3 países – Bélgica, Croacia y Hungría – han publicado la trasposición.

Por otro lado recordar que según que sectores se aplicará ademas otra normativa como el sector financiero afectado por el Reglamento UE 2022/2554 de Resiliencia Operativa (DORA) Digital del sector financiero.

Resumen

Obligación	Descripción
Implementación de Medidas de Seguridad	Las organizaciones deben adoptar medidas de seguridad adecuadas para proteger sus sistemas de red e información. También deben adoptar políticas necesarias en materia de seguridad de la información, con especial relevancia a la criptografía. También se debe contemplar la seguridad de los recursos humanos, las políticas de control de acceso y la gestión de activos, soluciones de autenticación multifactorial o de autenticación continua, comunicaciones de voz, vídeo y texto seguras y sistemas seguros de comunicaciones de emergencia en la entidad, cuando proceda.
Auditorías Periódicas	Las organizaciones están obligadas a realizar auditorías de seguridad de manera regular para asegurar el cumplimiento continuo.
Notificación de Incidentes	En caso de ciberataques o incidentes de seguridad, las organizaciones deben notificar a las autoridades competentes de manera oportuna.
Gestión de Riesgos	Las organizaciones deben establecer procedimientos para la identificación, evaluación y gestión de riesgos de seguridad de la información. Debe abarcar la cadena de suministro, incluidos los aspectos de seguridad relativos a las relaciones entre cada entidad y sus proveedores o prestadores de servicios directos.
Capacitación y Concienciación	Es necesario proporcionar formación en ciberseguridad a los empleados y fomentar una cultura de seguridad dentro de la organización. Prácticas básicas de ciberhigiene.
Inversión en Tecnologías y Procesos	Las organizaciones deben invertir en nuevas tecnologías y procesos para cumplir con los requisitos de NIS2. Deben adoptar Planes de continuidad de negocio, como la gestión de copias de seguridad y la recuperación en caso de catástrofe, y la gestión de crisis. Debe contemplarse la seguridad en la adquisición, el desarrollo y el mantenimiento de sistemas de redes y de información, incluida la gestión y divulgación de las vulnerabilidades
Sanciones por Incumplimiento	El incumplimiento de los requisitos de NIS2 puede resultar en sanciones significativas para las organizaciones.

Anexo I: Sectores de Alta Criticidad Este anexo detalla los sectores que se consideran de alta criticidad y que, por lo tanto, están sujetos a las obligaciones más estrictas de la Directiva NIS2. Estos sectores incluyen:

Energía
Transporte
Banca
Infraestructuras del mercado financiero
Salud
Agua potable
Aguas residuales
Infraestructuras digitales
Administración pública
Espacio

Anexo II: Otros Sectores Críticos Este anexo incluye otros sectores que también son críticos, aunque no tan esenciales como los del Anexo I. Estos sectores incluyen:

Servicios postales y de mensajería
Gestión de residuos
Productos químicos
Fabricación de alimentos
Fabricación de dispositivos médicos
Fabricación de productos farmacéuticos
Fabricación de vehículos de motor
Proveedores de servicios digitales

Diego Estévez

Consultor Jurídico e IT

Cookie	Duración	Descripción
__cf_bm	1 hour	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
__stripe_mid	1 year	Stripe sets this cookie to process payments.
__stripe_sid	1 hour	Stripe sets this cookie to process payments.
apbct_cookies_test	session	CleanTalk sets this cookie to prevent spam on comments and forms and act as a complete anti-spam solution and firewall for the site.
apbct_headless	session	Cleantalk set this cookie to detect spam and improve the website's security.
apbct_page_hits	session	CleanTalk sets this cookie to prevent spam on comments and forms and act as a complete anti-spam solution and firewall for the site.
apbct_pixel_url	session	Clean Talk sets this cookie to make WordPress anti-spam cookies, e.g., spam on forms and comments.
apbct_prev_referer	session	Functional cookie placed by CleanTalk Spam Protect to store referring IDs and prevent unauthorized spam from being sent from the website.
apbct_site_landing_ts	session	CleanTalk sets this cookie to prevent spam on comments and forms and act as a complete anti-spam solution and firewall for the site.
apbct_site_referer	3 days	CleanTalk Spam Protect sets this cookie to prevent spam and to store the referrer page address which led the user to the website.
apbct_timestamp	session	CleanTalk sets this cookie to prevent spam on comments and forms and act as a complete anti-spam solution and firewall for the site.
apbct_urls	3 days	CleanTalk Spam Protect sets this cookie to prevent spam on our comments and forms and acts as a complete anti-spam solution and firewall for this site.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Advertisement" category.
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Analytics" category.
cookielawinfo-checkbox-functional	1 year	The GDPR Cookie Consent plugin sets the cookie to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Necessary" category.
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie stores user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie stores the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	CookieYes sets this cookie to record the default button state of the corresponding category and the status of CCPA. It works only in coordination with the primary cookie.
ct_has_scrolled	session	CleanTalk sets this cookie to store dynamic variables from the browser.
ct_pointer_data	session	CleanTalk sets this cookie to prevent spam on the site's comments/forms, and to act as a complete anti-spam solution and firewall for the site.
ct_timezone	session	CleanTalk–Used to prevent spam on our comments and forms and acts as a complete anti-spam solution and firewall for this site.
elementor	never	The website's WordPress theme uses this cookie. It allows the website owner to implement or change the website's content in real-time.
wpEmojiSettingsSupports	session	WordPress sets this cookie when a user interacts with emojis on a WordPress site. It helps determine if the user's browser can display emojis properly.

Cookie	Duración	Descripción
ct_checked_emails	session	Clean Talk sets this cookie to prevent spam on the site's comments or forms.
ct_checkjs	session	Clean Talk sets this cookie to prevent spam on the site's comments or forms.
ct_fkp_timestamp	session	Clean Talk sets this cookie to prevent spam on the site's comments or forms.
ct_ps_timestamp	session	Clean Talk sets this cookie to prevent spam on the site's comments or forms.
ct_sfw_pass_key	1 month	Clean Talk sets this cookie to prevent spam on the site's comments or forms.
trx_addons_is_retina	1 year	ThemeREX sets this cookie to determine if the user has a retina display.

Cookie	Duración	Descripción
test_cookie	15 minutes	doubleclick.net sets this cookie to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	6 months	YouTube sets this cookie to measure bandwidth, determining whether the user gets the new or old player interface.
VISITOR_PRIVACY_METADATA	6 months	YouTube sets this cookie to store the user's cookie consent state for the current domain.
YSC	session	Youtube sets this cookie to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the user's video preferences using embedded YouTube videos.
yt-remote-device-id	never	YouTube sets this cookie to store the user's video preferences using embedded YouTube videos.
yt.innertube::nextId	never	YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen.

La Directiva NIS 2 ya es de directa aplicación sin que España la haya traspuesto

La Directiva NIS 2 ya es de directa aplicación sin que España la haya traspuesto

Ampliación del ámbito de aplicación

Gestión de riesgos y medidas de seguridad

Notificación de incidentes

Políticas, Formación y Auditorías periódicas

Impacto en sectores clave

Infraestructuras críticas

Sector de la salud

Empresas privadas y operadores digitales

Beneficios y desafíos

Mejora de la ciberseguridad

Mayor resiliencia

Desafíos de implementación

Sanciones

Conclusión

Normas ejecutivas

Resumen

Legal

Servicios

Contacto

La Directiva NIS 2 ya es de directa aplicación sin que España la haya traspuesto

Ampliación del ámbito de aplicación

Gestión de riesgos y medidas de seguridad

Notificación de incidentes

Políticas, Formación y Auditorías periódicas

Impacto en sectores clave

Infraestructuras críticas

Sector de la salud

Empresas privadas y operadores digitales

Beneficios y desafíos

Mejora de la ciberseguridad

Mayor resiliencia

Desafíos de implementación

Sanciones

Conclusión

Normas ejecutivas

Resumen

Informacion básica en materia de cookies