Adoptada en noviembre de 2022, la Directiva NIS 2 marca un gran avance en la ciberseguridad a nivel europeo. Su objetivo es sencillo pero ambicioso: fortalecer las medidas de ciberseguridad en todos los Estados Miembros mediante la creación de un conjunto común de estándares de seguridad para reducir el riesgo de ciberataques.
La idea de mejorar y estandarizar el nivel general de ciberseguridad dentro de la UE no es nueva. Desde 2015, la Comisión Europea ha ido transformando el mercado económico único en un mercado digital único. Esto incluye crear un entorno que favorezca el desarrollo de redes y servicios digitales seguros.
Detrás de esta Directiva están, de forma implícita, organizaciones públicas y privadas preocupadas por las repercusiones económicas y organizativas que traerán las medidas de seguridad reforzadas. Para entender mejor las expectativas y desafíos de esta Directiva sin entrar en pánico, hemos hecho un análisis legal de los puntos clave para que puedas anticipar los plazos establecidos.
1. Directiva Europea: ¿de qué se trata?
Una Directiva y un Reglamento son dos tipos de leyes de la UE. Se diferencian en su naturaleza, aplicación y el grado de flexibilidad que se les da a los Estados Miembros para implementarlas.
Un Reglamento Europeo es un acto legislativo que se aplica de manera uniforme y obligatoria en todos los Estados Miembros desde el momento en que entra en vigor. No necesita que se cree una ley nacional adicional para aplicarse. Los reglamentos suelen usarse para armonizar leyes y normas, asegurando un marco legal coherente en distintos ámbitos. Un ejemplo de esto es el Reglamento General de Protección de Datos (GDPR), que regula el tratamiento de datos personales dentro de la UE.
Por otro lado, una Directiva Europea es una ley que establece un objetivo o resultado que los Estados Miembros deben alcanzar. A diferencia de un reglamento, una directiva no se aplica directamente en la UE. Esto significa que los Estados Miembros tienen que crear su propia legislación nacional para cumplir con los objetivos establecidos en la directiva dentro de su propio sistema legal. A este proceso se le llama transposición. Es un elemento crucial del proceso legislativo europeo porque busca asegurar la armonización y coherencia de las normativas en la UE.
Los Estados Miembros generalmente tienen cierta libertad para decidir cómo cumplir con estos objetivos, siempre y cuando respeten los requisitos de la directiva. Esto puede implicar la creación de nuevas leyes, actos legislativos adicionales o la modificación de leyes existentes para adaptarse a lo que pide la directiva. Es importante tener en cuenta que los Estados Miembros deben hacer la transposición dentro de un plazo específico. Si no cumplen con esta obligación, pueden enfrentarse a sanciones o procesos legales.
Por lo tanto, dependiendo de tu ubicación, tendrás que seguir la ley de transposición del país en el que operas. Es posible que algunas medidas varíen o sean más estrictas de un Estado Miembro a otro.
2. ¿Me afecta la Directiva?
Tienes que considerar cuatro escenarios:
- Tu sector o subsector de actividad está mencionado explícitamente en los Anexos 1 y 2 de la Directiva, y cumples con los criterios de tamaño. En este caso, la Directiva NIS 2 te afecta. Ya puedes evaluar el nivel de seguridad interna y hacer un análisis inicial de brechas respecto a las obligaciones que se derivan del texto europeo.
- Tu sector o subsector aparece en los anexos de manera no explícita, en múltiples categorías o en categorías sujetas a interpretación. En este caso, lo mejor es esperar a la ley nacional que aclarará tus dudas y definirá el alcance de aplicación a través de la ley de transposición.
- Tu sector o subsector no aparece en los anexos, y no cumples con los criterios de tamaño o criticidad. Aún podrías estar dentro de las excepciones. Por lo tanto, necesitarás esperar a los avances en la ley de transposición.
- Tu sector o subsector aparece en los Anexos 1 y 2 de la Directiva, pero podrías estar exento de aplicarla si te dedicas a actividades relacionadas con la defensa o la seguridad nacional.
3. Obligaciones legales y de seguridad
La Directiva establece varias obligaciones que deben implementarse, las cuales se detallarán más durante la transposición. Puedes encontrar algunas de las obligaciones relacionadas con la seguridad de los sistemas de información en el siguiente artículo: ¿Cómo prepararse para la Directiva NIS 2?.
Por ejemplo, se pone especial atención al alojamiento de sistemas de información en la nube. Aunque el uso de esta tecnología no está prohibido por la Directiva, las empresas deberán asegurarse de que la información almacenada esté protegida y segura. Será necesario evaluar si será posible mantener todos los datos, independientemente de su nivel de sensibilidad, utilizando cifrado, o si esto estará prohibido. También surge la cuestión de la selección de proveedores de servicios en la nube. Es probable que se requiera un análisis de riesgos y una evaluación de impacto para clasificar, rastrear el flujo de datos y asignar responsabilidades en caso de un incidente de seguridad y/o violación de datos personales.
Además de las obligaciones de seguridad, se te pedirá que registres y declares cierta información solicitada por la Directiva NIS 2 ante la autoridad competente, como el Instituto Nacional de Ciberseguridad (INCIBE) en España.
4. ¿A qué autoridad debo acudir?
En el contexto del cumplimiento, los centros nacionales de coordinación de ciberseguridad estarán encargados de apoyar a las organizaciones en la implementación de medidas de seguridad y aclarar las regulaciones. Estas autoridades se encargarán de supervisar y sancionar a las organizaciones. Para más información, consulta tu centro nacional: Centros Nacionales de Coordinación de Ciberseguridad.
También puedes recurrir a Alter Solutions para implementar una acción doble: proteger tus sistemas de información y proteger los datos personales que maneja tu organización.
5. ¿Es compatible la Directiva NIS 2 con otras normativas?
Uno de los puntos sensibles de la transposición es la articulación de las medidas de ciberseguridad. El objetivo de los centros nacionales de coordinación de ciberseguridad será normalizar las normas para evitar complicaciones adicionales, promover la coherencia en los textos y evitar la superposición de normativas. Por ejemplo, en Francia, la ANSSI trabaja con la CNIL para evitar complejidades regulatorias adicionales en torno al GDPR y permitir que ambas normativas coexistan.
Además, la Directiva no menciona explícitamente el papel de los Responsables de Protección de Datos (DPO). Sin embargo, será necesario que estas funciones cooperen con los Responsables de Seguridad de la Información (CISO) dentro de tus organizaciones para optimizar y compartir sus respectivas habilidades.
6. ¿Y el costo financiero para las organizaciones?
Los recursos asignados para implementar medidas de seguridad bajo la Directiva NIS 2 pueden ser costosos. Sin embargo, dependerán del nivel de madurez en ciberseguridad que ya tengas. Por ahora, no está previsto que los centros nacionales de coordinación de ciberseguridad ofrezcan asistencia financiera, pero proporcionarán herramientas, guías y recomendaciones para reducir los costos implicados.
Aun así, es importante tener en cuenta un concepto fundamental del texto: proporcionalidad. Es decir, los requisitos variarán según el tamaño, la criticidad y el sector de actividad de tu organización. En caso de inspección, deberás demostrar que has implementado los medios necesarios para garantizar la seguridad de tus sistemas de información.