La necesidad de adaptarse a las crecientes y cambiantes ciberamenazas obligó a la actualización de la directiva a una nueva versión conocida como NIS2. Esta actualización, aprobada formalmente en noviembre de 2022, entró en vigor el 16 de enero de 2023 con el objetivo de reforzar la resiliencia y respuesta ante incidentes en infraestructuras críticas y esenciales. Paralelamente, el Esquema Nacional de Seguridad (ENS), vigente en España desde 2010, establece políticas y procedimientos para garantizar la seguridad de la información gestionada por entidades públicas y privadas que colaboran con ellas. Ambos marcos buscan proteger la integridad, disponibilidad y confidencialidad de la información crítica.
Alcance y organizaciones obligadas
Con carácter general, la directiva aplica a medianas y grandes empresas, ya sean públicas o privadas, de los sectores de alta criticidad y otros sectores críticos indicados en sus anexos I y II, respectivamente, que presten sus servicios o lleven a cabo sus actividades en la Unión Europea. En este sentido, todas las entidades públicas dentro del artículo 2 de la NIS2, así como muchas entidades privadas están obligadas por el ENS.
Con respecto a la NIS1, la Directiva NIS2 amplía su ámbito de aplicación con más sectores, con el fin de dotar de una cobertura más completa a los servicios de mayor importancia para las actividades sociales y económicas, Además, ya no diferencia entre operadores de servicios esenciales (OSE) proveedores de servicios digitales (PSD) como lo hacía previamente.
El Real Decreto 311/2022, del 3 de mayo, que regula el ENS, establece un mandato de cumplimiento obligatorio para varios sectores. Abarca todo el sector público español, según lo define la Ley 40/2015, así como las entidades privadas que, mediante contrato, convenio o encomienda, proporcionen servicios al sector público en el ejercicio de sus competencias administrativas. También incluye a las entidades que manejan información clasificada según la Ley sobre Secretos Oficiales y legislación relacionada.
Acciones para la adaptación a la Directiva NIS2 por parte de las organizaciones
Una de las principales sinergias entre la NIS2 y el ENS es la alineación de sus requerimientos de gestión de riesgos y notificación de incidentes. La implementación del ENS puede facilitar significativamente el cumplimiento con la NIS2, ya que las entidades que ya están adaptadas al ENS tendrán establecidas muchas de las medidas de seguridad que la NIS2 requiere.
Además, el "Perfil de Cumplimiento Específico" (PCE-NIS2), desarrollado a partir de un análisis de riesgos contemplando las vulnerabilidades y amenazas a las que están expuestas las entidades, proporciona un marco para que las organizaciones reguladas por el ENS cumplan también con la NIS2. Este perfil ayuda a las organizaciones a entender y aplicar los requisitos de la Directiva en un contexto que ya considera las especificaciones del ENS:
1. Evaluación y Actualización de Políticas de Seguridad:
· Evaluación de riesgos: las organizaciones deben realizar una evaluación de riesgos completa que identifique, analice y evalúe los riesgos de seguridad para sus redes y sistemas de información.
· Políticas de seguridad: basándose en la evaluación de riesgos, las entidades deben desarrollar o actualizar sus políticas de seguridad para abordar específicamente los riesgos identificados, estableciendo medidas adecuadas para su mitigación.
2. Implementación de Medidas Técnicas y Organizativas:
· Protección de infraestructuras: implementar soluciones de seguridad física y digital para proteger las infraestructuras críticas de ataques o fallos.
· Gestión de Accesos: Asegurar que el acceso a los sistemas de información se controle mediante autenticación y autorización basadas en el principio de menor privilegio.
· Respuesta a incidentes: desarrollar o mejorar los procedimientos de detección, reporte y respuesta ante incidentes de seguridad, incluyendo la recuperación de operaciones.
3. Formación y Concienciación:
· Programas de capacitación: organizar formaciones regulares para empleados sobre prácticas de seguridad cibernética, concienciación sobre las amenazas actuales y cómo prevenir incidentes.
· Simulacros de seguridad: realizar pruebas periódicas y simulacros de respuesta a incidentes para mejorar la preparación del personal y la eficacia de los protocolos de seguridad.
4. Notificación y Comunicación de Incidentes:
· Procedimientos de notificación: establecer mecanismos claros y eficientes para la notificación de incidentes de seguridad a las autoridades competentes dentro de los plazos requeridos por la NIS2.
· Transparencia con los stakeholders: mantener una comunicación efectiva con todas las partes interesadas, incluyendo clientes, socios y autoridades reguladoras, sobre las políticas de seguridad y los incidentes relevantes.
5. Auditorías y Pruebas de Seguridad:
· Auditorías internas y externas: realizar auditorías regulares para verificar el cumplimiento con las políticas de seguridad y las normativas de la NIS2.
· Evaluaciones de penetración: contratar servicios externos para realizar pruebas de penetración y otras evaluaciones de seguridad para identificar vulnerabilidades no detectadas durante las evaluaciones internas.
6. Coordinación y Cooperación Transfronteriza:
· Colaboración internacional: participar en redes y foros de intercambio de información sobre amenazas y mejores prácticas en ciberseguridad, fomentando la cooperación transfronteriza según lo establecido en la NIS2.
7. Cumplimiento Legal y Regulatorio:
· Revisión legal continua: mantener una revisión constante de los requisitos legales y regulatorios para asegurar que todas las actividades de ciberseguridad y protección de datos personales estén en conformidad con las leyes y regulaciones aplicables, incluyendo la NIS2.
La integración de la Directiva NIS2 con el Esquema Nacional de Seguridad representa un paso adelante en la consolidación de la seguridad de la información y la ciberseguridad en Europa. Las organizaciones sujetas a estas regulaciones deben evaluar y ajustar sus políticas y procedimientos para garantizar el cumplimiento y, a su vez, protegerse contra las ciberamenazas emergentes. Esta alineación normativa es la mejor solución para mejorar la seguridad de las organizaciones a nivel individual, así como aumentar la resiliencia de toda la sociedad.
