La directiva 2022/2555 se basa en la anterior Directiva 2016/1148 de seguridad en las redes y sistemas de información (NIS1). NIS1 queda derogada y es sustituida por NIS2, la cual busca adaptarse a las nuevas amenazas que se producen actualmente por la transformación digital de la sociedad.
¿Cuándo entra en vigor NIS2?
NIS2 entró en vigor el 16 de enero de 2023. Sin embargo, al tratarse de una directiva, su aplicación es indirecta y ha de ser transpuesta por cada Estado Miembro a su legislación nacional para desplegar sus efectos, siendo la fecha límite de transposición, el 17 de octubre de 2024.
¿Qué objetivos persigue la NIS2?
Actualizar y armonizar en la Unión Europea la normativa de ciberseguridad, mejorando la forma en la que la UE previene, gestiona y responde a los incidentes de ciberseguridad. Para ello, se establece una planificación adecuada en materia de ciberseguridad y se fomenta la colaboración entre los Estados miembros de la UE. Además, elimina las diferencias en las legislaciones de los Estados miembros sobre la materia, al establecer bases normativas que no serán modificadas por otras normas. Es decir, NIS2 establece unas bases mínimas y la futura legislación se “construirá” sobre ellas.
¿Qué medidas adopta NIS2?
Para aumentar la resiliencia de las entidades a las amenazas que se produzcan, NIS2 armoniza las siguientes materias para todos los Estados miembros: los requisitos de ciberseguridad, la notificación de incidentes, los mecanismos de supervisión sobre las entidades y las capacidades de las autoridades estatales.
Entre otras cosas, NIS2 busca evitar cargas excesivas para las entidades. Para reforzar y facilitar la cooperación y el intercambio de información de incidentes, se crean mecanismos de cooperación en materia de ciberseguridad.
Asimismo, se exigen nuevos requisitos de seguridad a todas las compañías e instituciones a las que se aplica, como la concienciación sobre privacidad o el cifrado de extremo a extremo. Este refuerzo en la seguridad también afecta a las exigencias de seguridad de proveedores y a la cadena de suministro. Las entidades han de evaluar la calidad y la resiliencia de los productos y servicios y las prácticas de ciberseguridad de sus proveedores y prestadores de servicios.
Otra de las novedades introducida por NIS2, es la creación de un Registro Europeo de Vulnerabilidades, en el cual se incluirá información, entre otras cosas, sobre las vulnerabilidades o su gravedad. También se creará la Red de Organización de Enlace para Crisis Cibernéticas, que harán más ágiles y regulares los intercambios de información entre autoridades competentes, así como coordinará ciberataques de gran alcance.
¿Cuál es su ámbito de aplicación?
El ámbito de aplicación de NIS2 ha sufrido algunas modificaciones respecto al de NIS1. Se elimina la distinción que hacía NIS1 entre operadores de servicios esenciales y proveedores de servicios digitales, para distinguir entre entidades esenciales e importantes:
Se considerarán como entidades esenciales, entre otras, las que un Estado miembro identifique como tal dentro de los sectores del anexo I y II (Energía, Espacio, Banca y transporte, entre otros), las entidades críticas (son identificadas por cada Estado), las entidades de la Administración pública central o las medianas empresas de los sectores de los anexos I y II.
Por otro lado, las entidades importantes serán aquellas que no puedan ser consideradas esenciales y las que un Estado identifique como entidades importantes.
La diferencia entre las primeras y las segundas es que las primeras están sujetas a un régimen de supervisión completo. Esto supone que están obligadas a documentar si se ajustan a las medidas para la gestión de riesgos de ciberseguridad y que las autoridades tienen la obligación de supervisarlas. En el caso de las segundas, el régimen de supervisión es menos estricto y la supervisión de las autoridades se dará cuando haya indicios de incumplir NIS2.
Quedan excluidas de su ámbito de aplicación, las entidades dedicadas a defensa, seguridad nacional y pública, fuerzas del orden, parlamentos y bancos centrales.
¿Qué mejoras proporciona frente a NIS1?
Las mejoras que proporciona NIS2 frente a NIS1 son:
- El refuerzo de los requisitos de seguridad en ciertas materias, como el tratamiento y la divulgación de vulnerabilidades.
- Aumenta la seguridad en la cadena de suministro y en los proveedores de las entidades. Por ejemplo, NIS2 especifica más las pautas de notificación de incidentes de seguridad.
- Se amplían los sectores que entran dentro de su ámbito de aplicación con respecto a NIS1. Estos nuevos sectores son: espacio, administración pública, agua potable y aguas residuales.
- Se establecen multas administrativas a las entidades que incumplan sus obligaciones recogidas en NIS2.
Conoce cómo nuestras soluciones para reglamentos y normativas sobre ciberseguridad pueden ayudar a tu organización.