El Anteproyecto NIS2 tiene como objetivo establecer un nivel elevado común de ciberseguridad en España y alinearse con las disposiciones de la Directiva (UE) 2022/2555. Busca garantizar la resiliencia de redes y sistemas de información esenciales y fomentar la cooperación entre sectores y países de la Unión Europea. Incluye medidas para la gestión de riesgos, notificación de incidentes y sanciones en caso de incumplimientos. También establece el marco institucional con el Centro Nacional de Ciberseguridad como autoridad central.
Empresas obligadas a cumplir
El Anteproyecto NIS2 impone obligaciones a empresas y entidades que desempeñan un papel fundamental en sectores considerados críticos o de alta criticidad. Además, también incluye a otras entidades relevantes en función de su tamaño, impacto y servicios prestados
Criterios generales para la obligación
La empresas estarán obligadas a cumplir con la normativa si cumplen uno o más de los siguientes criterios:
1️⃣ Pertenencia a sectores críticos definidos en los Anexos I y II del Anteproyecto. Estos sectores incluyen, pero no se limitan a, energía, transporte, salud, agua, infraestructuras digitales, servicios postales, industria química, entre otros.
2️⃣ Tamaño de la empresa: Medianas y grandes empresas con 50 o más empleados, y/o un volumen anual de negocios superior a 10 millones de euros.
3️⃣Relenvancia de los servicios prestados: Entidades que proporcionen servicios esenciales cuya interrupción podría tener repercusiones significativas en la seguridad nacional, economía o servicios públicos.
4️⃣Control público: Empresas en las que al menos el 25% del capital o de los derechos de voto estén controlados, directa o indirectamente, por organismos públicos.
5️⃣Identificación específica por las autoridades: La autoridad competente podrá clasificar como esenciales o importantes a empresas que, aunque no cumplan los criterios anteriores, se consideren críticas para la seguridad y resiliencia.
6️⃣Universidades y centros de investigación: Especialmente aquellos implicados en proyectos relacionados con sectores críticos o que manejen datos sensibles.
Claves para el cumplimiento del Anteproyecto NIS2
El cumplimiento del Anteproyecto NIS2 es esencial para garantizar la seguridad y resiliencia de las empresas y sectores involucrados. Este proceso se estructura en diferentes etapas que abarcan la gestión de riesgos, la notificación de incidentes, la supervisión por parte de las autoridades y la cooperación entre entidades. A continuación, se detallan cada uno de estos elementos:
➡️Gestín de riesgos y medidas técnicas: La primera etapa para el cumplimiento de la normativa implica la adopción de controles técnicos, operativos y organizativos que permitan mitigar los riesgos inherentes a las operaciones digitales. Esto incluye la implementación de sistemas de protección avanzados, como cortafuegos, sistemas de detección y prevención de intrusos (IDS/IPS) y mecanismos de autenticación multifactor. Además, es fundamental establecer procedimientos de evaluación continua para garantizar que las medidas adoptadas sean efectivas y se mantengan actualizadas frente a las amenazas emergentes.
➡️Notificación de incidentes La notificación temprana de incidentes de ciberseguridad es un aspecto clave del Anteproyecto. Para ello, las empresas deben utilizar la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes, un sistema centralizado diseñado para garantizar una respuesta rápida y coordinada. Asimismo, es necesario designar un responsable de seguridad que actúe como punto de contacto principal y coordine las acciones frente a posibles incidentes.
➡️Supervisión y evaluación: Las autoridades competentes llevarán a cabo auditorías y revisiones regulares para evaluar el grado de cumplimiento de las empresas. Este proceso incluye mecanismos de actualización de registros y certificaciones, así como la implementación de planes de mejora continua en caso de identificar áreas de debilidad. La supervisión tiene como objetivo no solo garantizar el cumplimiento, sino también fomentar una cultura de mejora constante en materia de ciberseguridad.
➡️Cooperación: La cooperación entre las distintas entidades involucradas es otro de los pilares del Anteproyecto NIS2. Esto incluye la coordinación con el Centro Nacional de Ciberseguridad, las autoridades sectoriales y los Equipos de Respuesta a Incidentes de Seguridad Informática (CSIRT). Además, se fomenta la compartición de información técnica y mejores prácticas tanto a nivel nacional como europeo, promoviendo un enfoque colaborativo para enfrentar las amenazas comunes.
➡️Régimen sancionado: En caso de incumplimientos, se aplicarán sanciones proporcionales según los criterios establecidos por la normativa. Estas sanciones buscan garantizar que las empresas tomen las medidas necesarias para proteger sus sistemas y datos, al tiempo que disuaden comportamientos negligentes. Los criterios de graduación de las sanciones considerarán factores como la gravedad del incumplimiento, el impacto del incidente y las medidas adoptadas para mitigar los daños.
Recomendaciones para la implementación exitosa.
La implementación efectiva del Anteproyecto NIS2 requiere un enfoque estructurado y proactivo. Las empresas deben seguir los siguientes pasos clave para garantizar su cumplimiento:
🟡Diagnóstico inicial: Es fundamental realizar un análisis de riesgos detallado para identificar los activos críticos y sus vulnerabilidades. Este diagnóstico debe incluir un inventario completo de los recursos tecnológicos, como hardware, software, redes y datos, así como una evaluación de los posibles escenarios de amenaza.
🟡Elaboración de un plan de acción: Con base en el diagnóstico inicial, se debe definir un plan de seguridad integral que contemple los controles técnicos, organizativos y operativos necesarios. Este plan debe priorizar las medidas más críticas y asignar responsabilidades específicas dentro del equipo de trabajo.
🟡Implementación de medidas de seguridad: En caso de no contar con personal especializado, es recomendable contratar servicios de consultoría para garantizar la correcta implementación de las medidas. Las empresas deben enfocarse en aspectos como el cifrado de datos, la gestión de accesos, la realización de copias de seguridad y la protección contra malware.
🟡Formación y concienciación: Capacitar al personal en ciberseguridad es esencial para reducir el riesgo de errores humanos. Esto incluye formación en el reconocimiento de intentos de phishing, la creación de contraseñas seguras y las mejores prácticas en el manejo de información sensible. También es importante designar un Responsable de Seguridad de la Información (RSI) que supervise y coordine las acciones de seguridad.
🟡Pruebas y auditorías: Realizar pruebas de penetración y análisis de vulnerabilidades permite evaluar la efectividad de las medidas adoptadas. Además, las auditorías regulares ayudan a identificar áreas de mejora y asegurar el cumplimiento continuo de la normativa.
🟡Certificación del cumplimiento: Para formalizar el cumplimiento del Anteproyecto NIS2, las empresas deben someterse a auditorías internas y externas que validen la implementación de las medidas exigidas. Este proceso no solo garantiza la conformidad legal, sino que también refuerza la confianza de clientes y socios en la seguridad de la organización.
Conclusión
El Anteproyecto NIS2 representa un paso significativo hacia la mejora de la ciberseguridad en España y Europa. Su correcta implementación no solo protegerá a las empresas frente a amenazas crecientes, sino que también contribuirá a la construcción de un entorno digital más seguro y resiliente. Adoptar estas medidas de forma proactiva y mantener una cultura de mejora continua será clave para afrontar los desafíos del panorama cibernético actual.