NIS2: Lo que los profesionales de la protección de datos deben saber sobre la monumental Directiva de ciberseguridad de la UE

The Bocada Team | febrero 6, 2025
Print Friendly, PDF & Email

Índice

  1. ¿Qué es NIS2?
  2. ¿Qué organizaciones tendrán que cumplir la norma NIS2 (y la legislación asociada de los Estados miembros)? 
  3. ¿Cuáles son algunas de las medidas que exigirá el NIS2? 
  4. ¿Qué significa NIS2 para los profesionales de la protección de datos? 
  5. ¿Cuál es la diferencia en la aplicación de NIS2 entre entidades “esenciales” e “importantes”? 
  6. ¿Cuáles son las consecuencias del incumplimiento?
  7. ¿Cuándo entra en vigor el NIS2? 

 

¿Qué es NIS2? 

NIS2 (Directiva (UE) 2022/2055 del Parlamento Europeo y del Consejo) es una nueva directiva sobre ciberseguridad que amplía enormemente el ámbito de aplicación de la anterior legislación sobre ciberseguridad de la UE (NIS en 2016) para incluir a las entidades “esenciales” e “importantes” en muchos más sectores industriales, al tiempo que establece un nivel aún más elevado de ciberseguridad y resiliencia. 

Nota: Consulta aquí el texto completo en inglés.

¿Qué organizaciones tendrán que cumplir la norma NIS2 (y la legislación asociada de los Estados miembros)? 

Aunque cada Estado miembro de la UE será responsable de crear y gestionar sus propias listas de entidades esenciales e importantes, he aquí algunas directrices para dar una idea inicial del alcance de NIS2: 

  • NIS2 se aplica a cualquier organización que preste servicios esenciales/importantes dentro de la UE.
  • NIS2 cubre las medianas empresas (entre 50 y 250 empleados) y grandes organizaciones (más de 250 empleados O un volumen de negocios anual de al menos 50 millones de euros O un balance general de al menos 43 millones de euros). 
  • Los sectores que regulará el NIS2 se clasificarán como “muy críticos o “críticos”y esto (en combinación con el tamaño de la organización y otros factores) determinará si una entidad es “esencial” o “importante” a efectos de aplicación. 

Clasificaciones sectoriales NIS2: 

 

Nota: Los proveedores de servicios de confianza cualificados, los registros de nombres de dominio y los proveedores de servicios DNS se consideran “esenciales”, independientemente de su tamaño. 

Puedes encontrar más información sobre cómo se determinarán las entidades “esenciales” e “importantes” en el artículo 3.1 del texto completo. 

 

¿Cuáles son algunas de las medidas que exigirá el NIS2? 

Las medidas adecuadas de gestión de riesgos “basadas en un enfoque que tenga en cuenta todos los peligros y cuyo objetivo sea proteger las redes y los sistemas de información y el entorno físico de dichos sistemas frente a los incidentes, [shall] incluyen al menos lo siguiente:” 

 

(a) Políticas de análisis de riesgos y seguridad de los sistemas de información; 

(b) gestión de incidentes; 

(c) la continuidad de la actividad, como la gestión de copias de seguridad y la recuperación en caso de catástrofe, y la gestión de crisis; 

(d) la seguridad de la cadena de suministro, incluidos los aspectos relativos a la seguridad de las relaciones entre cada entidad y sus proveedores directos o proveedores de servicios; 

(e) la seguridad en la adquisición, el desarrollo y el mantenimiento de redes y sistemas de información, incluido el tratamiento y la divulgación de vulnerabilidades; 

(f) políticas y procedimientos para evaluar la eficacia de las medidas de gestión de riesgos de ciberseguridad; 

(g) Prácticas básicas de ciberhigiene y formación en ciberseguridad; 

(h) políticas y procedimientos relativos al uso de criptografía y, en su caso, de cifrado; 

(i) seguridad de los recursos humanos, políticas de control de acceso y gestión de activos; 

(j) el uso de soluciones de autenticación multifactor o autenticación continua, comunicaciones de voz, vídeo y texto seguras y sistemas de comunicación de emergencia seguros dentro de la entidad, cuando proceda. 

(Fuente: Artículo 21 de la Directiva NIS2).

 

¿Qué significa NIS2 para los profesionales de la protección de datos? 

 Aunque la directiva se centra ostensiblemente en la ciberseguridad, también describe muy explícitamente la necesidad de prácticas de protección de datos en el punto “C” de la lista anterior: 

(c) la continuidad de la actividad, como la gestión de copias de seguridad y la recuperación en caso de catástrofe, y la gestión de crisis;

Esto es un claro reconocimiento de que la prevención de incidentes (mediante la ciberseguridad) no es suficiente. Cuando inevitablemente se producen incidentes (independientemente de la causa), las organizaciones deben ser capaces de mantener la continuidad del negocio recuperándose rápidamente.  

Para los profesionales de la protección de datos, hay dos implicaciones básicas: 

  1. Tus datos críticos deben estar adecuadamente protegidos mediante operaciones de copia de seguridad y recuperación ante desastres. 
  2. Debes ser capaz de demostrar que existen las políticas de copia de seguridad/RR necesarias para cumplir los RTO (objetivos de tiempo de recuperación), RPO (objetivos de punto de recuperación) y otros KPI. 

Nota: Aunque la gran mayoría de las organizaciones disponen de soluciones de protección de datos, muchas carecen de herramientas de supervisión y elaboración de informes que puedan demostrar fácilmente su eficacia y cumplimiento. 

 

¿Cuál es la diferencia en la aplicación de NIS2 entre entidades “esenciales” e “importantes”? 

La principal diferencia es que entidades esenciales estarán sujetas a una supervisión/auditoría proactiva. Es decir, incluso cuando no se haya producido un incidente de ciberseguridad, se exigirá a las entidades esenciales que demuestren que siguen medidas conformes. Esto puede ocurrir de las siguientes formas:  

(a) Inspecciones in situ y supervisión fuera de las instalaciones, incluidos controles aleatorios realizados por profesionales formados; 

(b) auditorías de seguridad periódicas y específicas realizadas por un organismo independiente o una autoridad competente; 

(c) auditorías ad hoc, incluso cuando estén justificadas por un incidente significativo o una infracción de la presente Directiva por parte de la entidad esencial; 

(d) exploraciones de seguridad basadas en criterios de evaluación de riesgos objetivos, no discriminatorios, justos y transparentes, cuando sea necesario con la cooperación de la entidad afectada; 

(e) solicitudes de información necesaria para evaluar las medidas de gestión de riesgos de ciberseguridad adoptadas por la entidad en cuestión, incluidas las políticas de ciberseguridad documentadas, así como el cumplimiento de la obligación de presentar información a las autoridades competentes con arreglo al artículo 27; 

(f) solicitudes de acceso a los datos, documentos e información necesarios para llevar a cabo sus tareas de supervisión; 

(g) solicitudes de pruebas de la aplicación de las políticas de ciberseguridad, como los resultados de las auditorías de seguridad realizadas por un auditor cualificado y las respectivas pruebas subyacentes. 

 

Para los profesionales de la protección de datos y las copias de seguridad, las auditorías del rendimiento de las copias de seguridad y los informes correspondientes podrían incluirse en estos “controles aleatorios”, “auditorías de seguridad periódicas y específicas”, “auditorías ad hoc” y/u otras solicitudes de información. Por lo tanto, probablemente será fundamental que las entidades esenciales dispongan de capacidades completas de supervisión e información sobre copias de seguridad antes de que comience la aplicación de la ley.  

Entidades importantes, por otra parte, tendrán requisitos de información reactiva. Después de un incidente, la entidad se enfrentará a un escrutinio de cumplimiento y puede ser objeto de sanciones si se determina que no se habían adoptado las medidas necesarias (antes de un incidente). Es importante señalar que las entidades importantes deben seguir aplicando las mismas medidas de gestión de riesgos que las entidades esenciales.

¿Cuáles son las consecuencias del incumplimiento?

En primer lugar, el NIS2 permite una serie de sanciones contra las organizaciones infractoras, como advertencias públicas, instrucciones vinculantes para realizar cambios, suspensiones temporales de servicios y/o personal, etc.

Además, la NIS2 establece la posibilidad de que los Estados miembros impongan multas administrativas, como sigue:

  • Entidades esenciales: un máximo de al menos 10.000.000 de euros o de un máximo de al menos el 2 % del volumen de negocios total anual a nivel mundial en el ejercicio anterior de la empresa a la que pertenezca la entidad esencial, si esta cifra es superior.
  • Entidades importantes: un máximo de al menos 7.000.000 de euros o de un máximo de al menos el 1,4 % del volumen de negocios total anual mundial en el ejercicio anterior de la empresa a la que pertenezca la entidad importante, si esta cifra es superior.

Consulta el Capítulo VII para obtener más detalles sobre la supervisión, la aplicación y las sanciones.

 

¿Cuándo entra en vigor el NIS2? 

Por 17 de octubre de 2024, los Estados miembros de la UE deben integrar las disposiciones del NIS2 en su propia legislación local.  

Importante: Muchas organizaciones que serán consideradas “esenciales” o “importantes” están tomando medidas ahora para asegurarse de que adoptan las medidas necesarias de ciberseguridad y protección de datos antes de tiempo. 

 

Si eres un profesional de la protección de datos o de las copias de seguridad y el almacenamiento y prevés retos para demostrar que las operaciones de copia de seguridad y recuperación en caso de catástrofe cumplen con NIS2, por favor ponte en contacto con Bocada para una consulta gratuita.