Directiva NIS2: la ciberseguridad es importante y Europa lo sabe

Directiva NIS2: la ciberseguridad es importante y Europa lo sabe

Que la ciberseguridad es algo muy importante en las organizaciones cada día es más notorio y cada día las organizaciones destinan más esfuerzos y presupuestos a ello.

Como todo lo que es importante para lo estados, debe tener una estandarización y una regulación que establezca las bases y reglas del juego. La Unión Europea consciente de la necesidad de tener unas bases comunes a todos los estados miembros publico en 2016 la “Directiva NIS” (DIRECTIVA (UE) 2016/1148 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 6 de julio de 2016 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión) que fue traspuesta, en España, por el “Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información” y por el “Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información”.

Esta normativa afecta a las entidades declaradas esenciales pero cada día se van incluyendo más, las llamadas importantes. La tendencia es que toda entidad deberá cumplir con ella.

Esta directiva y su trasposición trajeron mucha luz a la ciberseguridad, pero como toda primera vez, se puede mejorar y pronto se identificaron puntos de mejora:

  • Coordinación entre autoridades competentes.
  • Promoción para una mayor cooperación público-privada.
  • Ampliación del ámbito de aplicación.
  • Introducir en la normativa de contratación pública la obligación de disponer de certificaciones reconocidas en el Esquema Nacional de Seguridad (ENS) para poder licitar contratos públicos.
  • Establecer auditorias de ciberseguridad obligatorias.
  • Introducir obligaciones relativas a la gobernanza interna de la ciberseguridad de las organizaciones y delimitar el rol y obligaciones del responsable de ciberseguridad (CISO), así como la responsabilidad de los consejos de administración.
  • Fomentar de forma masiva la cultura de la ciberseguridad en general y en especial en niveles educativos.

Por todo ello, la Unión Europea adelantó la revisión de la directiva para encontrar los puntos vulnerables de dicha normativa y se encontró con lo siguiente:

  • El ámbito de aplicación no era el correcto y no encajaba con algunos sectores transformados por el proceso de digitalización.
  • Cada Estado miembro interpreto la directiva de forma diferente lo que provoco la falta de coherencia entre las distintas trasposiciones.
  • La Comisión Europea determinó la existencia de un dispar nivel de madurez y de capacidad de resiliencia entre las empresas de afectadas en los estados miembros.
  • La falta de un mismo nivel de estandarización entre los estados miembros en la aplicación de los requisitos de la norma provoco la dificultad para la gestión de incidentes entre estados.
  • Los estados miembros no comparten la suficiente información ni de forma sistematizada.
  • La supervisión y ejecución ha resultado poco eficaz ya que los Estados miembros son reacios a imponer sanciones.

Objetivos de la nueva Directiva NIS2:

Los principales objetivos que persigue la nueva Directiva NIS2 son:

  • Marco regulatorio: Europa se encuentra inmersa en una estandarización de la ciberseguridad y privacidad en distintos entornos que persigue la protección de información, las personas y los procesos además de la tecnología. Por todo ello, busca establecer un marco de gobernanza que fortalezca la ciber resiliencia y la cultura de las empresas.
  • Aumentar el marco de colaboración público-privada que mejore:

– Consecución de altos estándares de ciberseguridad.

– Incorporar nuevas entidades calificadas como importantes.

– Mejorar la terminología y criterios en la diferenciación entre entidad esencial e importante.

– Aclarar el alcance territorial de la categoría “fabricación”.

– Alinear la definición de “servicios de computación en la nube”.

  • Divulgar y registrar de forma coordinada las vulnerabilidades.
  • Establecer marcos nacionales de gestión de crisis de ciberseguridad.
  • Implantar de forma efectiva la colaboración en la gestión de crisis.
  • Establecer un enfoque de gestión de riesgos de ciberseguridad.
  • Realizar evaluaciones coordinadas de los riesgos en las cadenas de suministro críticas.
  • Utilizar esquemas europeos de certificación de la ciberseguridad.
  • Incorporar la obligación de notificación de incidentes.
  • Establecer un registro de bases de datos de nombres de dominio y datos de registro.
  • Proponer un Registro europeo de entidades esenciales e importantes.
  • Determinar un proceso de supervisión y ejecución.
  • Establecer un régimen sancionador.
  • Determinar las sanciones dirigidas a la alta dirección de las entidades.

Tras analizar la Directiva NIS y el borrador de la Directiva NIS2, tengo claro que la Comisión Europea sabe que para pedir hay que dar y que la ciberseguridad debe ser un proceso en movimiento y mejora continua. Hay algunos puntos muy interesantes como que toda regulación para que sea tomada en serio debe tener un proceso sancionador asociado, que se deben contar dotar con recursos que ayuden a la estandarización entre los estados miembros, que se debe utilizar los estándares y recursos que cada Estado miembro ya tiene y mejorarlos, que no sirve de nada establecer una directiva si no se supervisa y controla, que la colaboración es esencial…pero también me surgen algunas cuestiones como: ¿seremos capaces de colaborar entre todos los estados miembros?, ¿quién deberá supervisar y controlar el cumplimiento?, ¿qué metodología de gestión de riesgos debemos utilizar?, ¿cómo implantar todas estas medidas en las empresas?

Todo esto realmente se centra en la gestión del cambio que debemos hacer para conseguir uno de los propósitos que se marca la Directiva NIS2 de aumentar la ciber resiliencia y la cultura de la ciberseguridad.

Desde Asseco somos unos fieles creyentes de ello y aplicamos todas las medidas desde la base para conseguir esa ciber resiliencia y aumente día a día la cultura en ciberseguridad.

¿Quieres saber cómo podemos ayudarte a cumplir con la Directiva NIS2 y aumenta tu ciber resiliencia y cultura en ciberseguridad? Ponte en contacto con nosotros en cybersecurity@asseco.es

Carlos José García-Gallardo

CyberSecurity Director

Asseco Spain Group