La directiva NIS 2, o Network and Information Security 2, representa una evolución significativa para fortalecer la ciberseguridad en toda la Unión Europea. Adoptada para hacer frente al aumento creciente de las ciberamenazas, esta directiva deberá aplicarse en cada país miembro de la UE a partir del 17 de octubre de 2024. Su objetivo es reforzar los niveles de seguridad informática y la ciberresiliencia de un amplio espectro de infraestructuras críticas y servicios esenciales europeos. Pero, ¿cómo están los Estados europeos respondiendo a las exigencias de NIS 2? ¿Cuáles son los obstáculos que enfrentan? Este artículo ofrece una visión detallada de la transposición actual de NIS 2 y sus implicaciones para las naciones y las empresas.
Contexto y objetivos de NIS 2
La directiva NIS 2 es una versión mejorada de la primera directiva NIS, que buscaba armonizar las exigencias de ciberseguridad en la UE. Con la evolución de los ciberataques, de origen estatal y paraestatal, se ha vuelto necesario reforzar la seguridad de las redes y los sistemas de información. Los objetivos de NIS 2 incluyen aumentar la resiliencia de las infraestructuras críticas, clarificar las responsabilidades de las empresas en materia de ciberseguridad y ampliar el alcance a nuevos sectores económicos.
¿Cuáles son las diferencias entre NIS 1 y NIS 2?
NIS 2 se distingue de NIS 1 en varios aspectos importantes. Primero, amplía su ámbito de aplicación, pasando de 10 a 18 sectores involucrados, incorporando áreas como la salud, la energía, las finanzas e incluso el transporte. Luego, elimina la denominación “OSE” (Operadores de Servicios Esenciales) en favor de dos categorías de entidades: las entidades esenciales y las entidades importantes. Finalmente, impone obligaciones de reporte más estrictas y nuevas sanciones en caso de incumplimiento.
A diferencia de NIS 1, la nueva directiva otorga una responsabilidad directa a los dirigentes de las empresas. Por lo tanto, están obligados a asegurarse de la conformidad de su organización con NIS 2. Esto significa que deben supervisar personalmente las estrategias de ciberseguridad, participar en las auditorías y estar en capacidad de justificar las medidas tomadas para prevenir los ciberataques.
Las exigencias de ciberseguridad con NIS 2
Obligaciones de seguridad para las empresas
Las empresas afectadas por la directiva NIS 2 deben implementar una serie de estrategias de seguridad para proteger sus sistemas de información. Estas acciones buscan garantizar una gestión proactiva de los riesgos, especialmente mediante la securización de las redes y los sistemas, así como la vigilancia de sus proveedores y subcontratistas.
Protección de la arquitectura de red
La directiva NIS 2 exige a las empresas reforzar la seguridad de sus redes y sistemas para minimizar los riesgos de intrusión y desestabilización. Recomienda, en particular, el aislamiento de las redes y los accesos remotos. La implementación de sistemas de detección de ataques, el uso de cortafuegos y la realización de pruebas regulares de vulnerabilidad también son recomendados. En Alemania, empresas como Siemens han implementado sistemas avanzados de análisis y detección de amenazas para cumplir con las exigencias de ciberseguridad de NIS 2 (Fuente: siemens.com).
Obligaciones de reporte de incidentes
Una de las principales exigencias de la nueva directiva se refiere a la estricta obligación de reportar incidentes. Las entidades sujetas a NIS 2 deben notificar cualquier incidente mayor a las autoridades competentes en un plazo de 24 horas, para permitir una respuesta rápida y coordinada a los ciberataques. En Bélgica, el Centro para la Ciberseguridad Bélgica (CCB) ha implementado una plataforma digital que facilita las notificaciones en caso de incidentes y permite solicitar asistencia al Equipo de Respuesta a Emergencias Cibernéticas (CERT) (Fuente: cert.be).
Conformidad y auditorías bajo NIS 2
Para demostrar su conformidad con NIS 2, las organizaciones deberán someterse a auditorías regulares. Estas auditorías serán un medio para verificar que las medidas de ciberseguridad se implementan correctamente y cumplen con las normas establecidas por la directiva.
Es importante saber que una entidad certificada ISO 27001 no es automáticamente conforme con la nueva directiva. Sin embargo, como se especifica en el sitio de Orange Cyberdéfense, “la certificación ISO 27001 es una buena base hacia la conformidad con NIS 2, ya que permite disponer de un marco de gobernanza de la seguridad que cubre gran parte de sus exigencias”.
La transposición de NIS 2 en Europa
¿Cómo medir los avances de los Estados miembros de la UE?
La transposición de la directiva NIS 2 no se realiza de manera uniforme en todos los Estados miembros. Algunos países se han preparado desde hace varios meses o incluso años en la aplicación de la directiva, mientras que otros inician tardíamente el proceso. Para medir los avances de los países miembros, deben tomarse en cuenta varios aspectos, entre ellos:
- Estado de avance legislativo (publicación del proyecto de ley, adopción…)
- Calendario de transposición
- Designación de las autoridades competentes (verificación de la implementación, acompañamiento…)
- Identificación de las entidades esenciales e importantes
- Formación y sensibilización
- Mecanismos de notificación de incidentes
A continuación, un panorama de los avances observados:
Enfoque por país sobre la transposición de NIS 2
Bélgica
En Bélgica, la transposición de NIS 2 avanza rápidamente. El proyecto de ley fue votado en abril de 2024, y las modalidades prácticas de implementación están en proceso de finalización. El Centro para la Ciberseguridad Bélgica (CCB) ha establecido un marco de referencia basado, en particular, en la norma ISO 27001, para asegurar la conformidad de las entidades afectadas. Se trata del “CyberFundamentals”, que propone una serie de medidas concretas para reducir el riesgo de ataques informáticos. Permite a una organización acceder a diferentes niveles de seguridad, según la gravedad de su amenaza, que van de Small a Esencial. Como complemento, la herramienta de autoevaluación CyFun Self-assessment Tool permite verificar su nivel de conformidad con NIS 2, en relación con las medidas recomendadas anteriormente.
A partir de la entrada en aplicación de la directiva NIS 2, el 18 de octubre de 2024, la mayoría de las entidades tendrán cinco meses para registrarse en el sitio SafeonWeb (2 meses para aquellas que pertenezcan a ciertos sectores relacionados con las tecnologías de la información y la comunicación). La primera evaluación obligatoria de la empresa deberá tener lugar 18 meses después de la entrada en vigor de la ley. Finalmente, la certificación CyberFundamentals o ISO 27001 deberá ser obtenida por la entidad afectada 36 meses después de la transposición nacional de NIS 2. (Fuente: CCB)
Alemania
Alemania ha adoptado un enfoque más progresivo en su cumplimiento. El país ha publicado varias versiones de su proyecto de ley, pero la transposición completa está prevista para 2025. El marco regulatorio alemán se basa en la ley KRITIS, que establece medidas para la seguridad y la resiliencia de las infraestructuras críticas, y en la Ley BSI, que atribuye la supervisión a la Oficina Federal de Seguridad de la Información (BSI).
Francia
En Francia, la Agencia Nacional de la Seguridad de los Sistemas de Información (ANSSI) lidera los esfuerzos de transposición de NIS 2 en un enfoque participativo, con todas las partes interesadas.
Sin embargo, el texto legislativo aún no ha sido adoptado: fue presentado al Parlamento el 15 de octubre de 2024, es decir, unos días antes de la fecha límite de transposición nacional de la directiva. Persistían incertidumbres hasta ahora sobre la integración de las colectividades locales en las exigencias de seguridad. Se organizaron consultas por parte de la ANSSI en mayo de 2024 con organizaciones profesionales afectadas por la directiva, por una parte, y con asociaciones de representantes de colectividades territoriales, por otra. Estas tenían como objetivo aclarar el perímetro de las entidades afectadas y las medidas de seguridad aplicadas. El aumento del “nivel de madurez cibernética de las colectividades territoriales” apareció como una de las prioridades con NIS 2, así como armonizar la seguridad de los sistemas de información a nivel territorial.
Para lograrlo, las organizaciones públicas y privadas deben disponer de tiempo. Por ello, durante las Universidades de verano de Hexatrust de septiembre de 2024, Vincent Strubel, Director General de la ANSSI, indicó que no se impondrán sanciones a las empresas no conformes con NIS 2 durante los tres primeros años después de su entrada en aplicación.
La plataforma “Mon Espace NIS 2” permite a las organizaciones:
• Informarse sobre la nueva directiva
• Verificar si están o no afectadas por NIS 2
• Y, próximamente, declararse ante la ANSSI
Croacia
Croacia forma parte de los países más avanzados en la transposición de NIS 2, con un proyecto de ley ya adoptado. En febrero de 2024, entró en vigor la Ley de Seguridad Cibernética de Croacia (CSA), que ha permitido transponer parcialmente la nueva directiva. Para febrero de 2025, las autoridades competentes deberán notificar a las organizaciones afectadas por esta ley. Estas tendrán luego un plazo de un año para cumplir con las medidas del CSA. (Fuente: Wavestone)
Hungría
En Hungría, la directiva NIS 2 fue transpuesta en mayo de 2023 tras la adopción de la Ley 23 de 2023 sobre la certificación y supervisión de la ciberseguridad. En virtud de la legislación húngara que transpone la directiva NIS 2, las organizaciones nacionales afectadas tenían hasta el 30 de junio de 2024 para registrarse como entidad esencial (EE) o entidad importante (EI) (Fuente: DLA Piper). Antes del 18 de octubre de 2024, las organizaciones afectadas por NIS 2 debían implementar medidas de seguridad correspondientes al nivel de criticidad de sus sistemas de información y pagar la tasa de supervisión de la SZTFH (Szabályozott Tevékenységek Felügyeleti Hatósága), autoridad nacional para la ciberseguridad.
Los desafíos jurídicos y administrativos de la transposición
Complejidad legislativa de NIS 2
La transposición de NIS 2 es un desafío jurídico complejo para los Estados miembros. La directiva exige una revisión en profundidad de los marcos legislativos nacionales, lo que puede resultar largo y políticamente sensible. Las diferencias entre los sistemas jurídicos de los países también dificultan la uniformidad de las exigencias de ciberseguridad. Según un análisis realizado por Mayer Brown, la fragmentación de los marcos legislativos en la UE constituye un obstáculo mayor para la implementación homogénea de NIS 2 (Fuente: Mayer Brown, Análisis 2024).
Responsabilidad de los dirigentes
NIS 2 impone una responsabilidad personal a los dirigentes de las empresas, obligándolos a justificarse en cuanto a la implementación de las medidas de ciberseguridad. Esta evolución busca garantizar que la ciberseguridad sea una prioridad al más alto nivel de gestión, pero también introduce complejidades adicionales. Para las pequeñas empresas, puede constituir una carga. Por otra parte, según un estudio reciente de Ivanti realizado sobre 3.000 dirigentes de empresa y profesionales de TI y seguridad en todo el mundo, “La mayoría (55%) de los profesionales de TI/seguridad creen que sus dirigentes (fuera de TI) no tienen una buena comprensión del concepto de gestión de vulnerabilidades”. Esto es confirmado por “el 47% de los dirigentes no pertenecientes al área de TI, que admiten que no tienen un muy buen nivel de comprensión del concepto”. Se espera que la transposición de la directiva NIS 2 pueda abrir el camino a una mayor formación y sensibilización de los altos mandos sobre el tema.
Conclusión: una uniformización crucial pero laboriosa
La transposición de la directiva NIS 2 es un proceso complejo que requiere esfuerzos concertados por parte de todos los Estados miembros de la UE. La fragmentación de los procesos legislativos, los desafíos vinculados a las responsabilidades aumentadas de los dirigentes y la ampliación de los sectores afectados hacen que la implementación sea difícil. Sin embargo, la directiva es esencial para mejorar la resiliencia de las infraestructuras críticas de Europa frente a las crecientes ciberamenazas. Aunque todos los países no presentan el mismo nivel de avance y no estén listos al mismo tiempo, deberán estar preparados para abril de 2025, para entregar la lista de sus entidades esenciales e importantes a la Comisión Europea. Queda por ver si todos estos esfuerzos concentrados en un plazo tan corto permitirán garantizar una ciberseguridad reforzada, duradera y, a largo plazo, uniforme en todo el continente.
Descargue la infografía
Preguntas frecuentes
La directiva NIS 2 es una normativa europea que busca armonizar y reforzar la ciberseguridad en todos los Estados miembros. Tiene como objetivo proteger la seguridad de las redes y los sistemas de información, estableciendo un nuevo marco para una ciberseguridad más robusta. Adoptada en octubre de 2024, esta directiva europea busca elevar el nivel de protección para luchar contra las crecientes ciberamenazas, mejorando la coordinación entre los países miembros y aumentando las exigencias de seguridad para las infraestructuras críticas.
Los impactos de la directiva NIS 2 en las empresas son significativos. Impone obligaciones aumentadas en materia de ciberseguridad, incluyendo medidas de seguridad reforzadas y una gestión de riesgos más rigurosa para las entidades afectadas. El nivel de seguridad informática requerido es elevado, con obligaciones de reporte de incidentes, auditorías regulares y conformidad con estándares internacionales como la ISO 27001. Esto permite prepararse mejor frente a las ciberamenazas que no cesan de aumentar.
Para prepararse para el cumplimiento con NIS 2, es esencial establecer un plan que incluya la evaluación de riesgos, la formación de los empleados y la implementación de medidas de gestión adaptadas a las nuevas obligaciones. Las entidades esenciales también deben asegurarse de seguir una estrategia nacional para reforzar su ciberseguridad y respetar las normas impuestas por la directiva. La formación es crucial para garantizar que todas las partes interesadas comprendan sus responsabilidades y las medidas de seguridad a implementar.
La directiva NIS 2 afecta a una amplia gama de entidades en 18 sectores, incluyendo operadores de servicios esenciales, empresas de sectores críticos como la energía, la salud y las finanzas, así como a ciertas administraciones públicas y entidades locales. Además, se aplica a las empresas de terceros países que operan en el territorio de la Unión Europea, y cada Estado miembro, a través de su agencia nacional, es responsable de identificar las entidades afectadas.
La directiva NIS 2 introduce un régimen de sanciones estricto para las infracciones a la conformidad. Las empresas que no respeten las obligaciones de ciberseguridad pueden estar sujetas a multas importantes. La responsabilidad de los dirigentes también está comprometida, y las sanciones pueden incluir multas basadas en un porcentaje de la facturación, conforme al derecho nacional de cada Estado miembro. Estas sanciones buscan garantizar que las empresas respeten las normas de seguridad establecidas.
La directiva NIS 2 entra oficialmente en vigor en octubre de 2024. Los Estados miembros tienen hasta esa fecha para transponer la directiva en su legislación nacional, aunque algunos países otorgan un plazo adicional sin riesgo de sanción, como Francia. Cada país debe publicar la legislación correspondiente en el boletín oficial, garantizando que todas las entidades afectadas respeten las nuevas exigencias de ciberseguridad en el plazo previsto.
La directiva NIS 2 refuerza la ciberseguridad imponiendo reglas armonizadas para todos los Estados miembros, buscando un nivel global de protección más elevado. Establece medidas de seguridad específicas para las infraestructuras críticas, mejora la protección de los datos y garantiza la seguridad pública. La directiva busca reducir los riesgos en materia de ciberseguridad exigiendo auditorías regulares, una mejor coordinación entre los Estados miembros y medidas claras para gestionar las ciberamenazas y reforzar la resiliencia de los sistemas de información.