Info-blog

Abogado ciberseguridad: Directiva NIS 2 y obligaciones en la UE

Escrito por Abigail Sked | 18-jun-2024 11:42:01

ENISA, la Agencia de la Unión Europea para la Ciberseguridad, observó un aumento significativo en la cantidad y variedad de ciberataques y sus consecuencias en los últimos meses de 2022 y los primeros de 2023, y entre 2021 y 2022 el 82 % de las violaciones de datos registradas tuvieron un componente humano (como el aprovechamiento de un error humano para obtener acceso a información o servicios).

Hoy en día, no se trata de si se intentará hackear el sistema de tu empresa o robar datos confidenciales, sino de cuándo se lo intentará, y es por eso que la Unión Europea adoptó la Directiva NIS 2. 

Redactado por Abigail Sked

 Paralegal 

Saber más

 

 

¿Qué es la Directiva NIS 2?

En 2022 la Unión Europea adoptó una directiva que tenía por objeto alcanzar un elevado nivel común de ciberseguridad en toda la Unión con el objetivo de mejorar el funcionamiento del mercado interior. En realidad, esta Directiva, Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión (Directiva NIS 2), puede considerarse una actualización de una directiva similar de 2016 (Directiva (UE) 2016/1148), que fue transpuesta a la legislación española por el Real Decreto-ley 12/2018. Sin embargo, como todos sabemos, los cambios tecnológicos se suceden con rapidez y el legislador tiene que intentar mantenerse al día.

La Directiva NIS 2 no solo establece medidas y obligaciones de gestión de riesgos de ciberseguridad para determinadas entidades que consideran de riesgo, sino que también impone a los Estados miembros la obligación de actualizar sus leyes y estrategias nacionales, establece autoridades competentes y equipos de respuesta a incidentes de seguridad informática y facilita el intercambio de información relacionada con la ciberseguridad. Sin embargo, en este post nos centraremos en responder a las principales preguntas que tú, como empresario, podrías tener sobre la NIS 2, directiva de ciberseguridad.

 

Tengo una empresa en España. ¿Se nos aplican las obligaciones de la NIS 2?

En primer lugar, deberías tener en cuenta que lo que esta ley pretende hacer es garantizar que los servicios esenciales estén disponibles para el público de forma ininterrumpida. Por tanto, si es poco probable que tu empresa pueda calificarse de "esencial" o de importancia social, es poco probable que esta ley te afecte. Si tu empresa estuviera sujeta a la predecesora de esta Directiva, seguirías incurriendo en obligaciones en virtud de la misma, ya que ha ampliado el ámbito de las empresas afectadas. Sin embargo, las buenas prácticas de ciberseguridad son esenciales para todas las empresas, por lo que, aunque esta Directiva no te afecte, su contenido puede resultarte ilustrativo.

Esta Directiva se aplica a las entidades públicas o privadas que pertenezcan a alguna de las siguientes categorías:

1) Empresas medianas o grandes (más de 50 empleados y volumen de negocios anual y/o balance general anual superior a 10 millones de euros) que presten sus servicios o lleven a cabo sus actividades en la Unión y cuya actividad pertenezca a una de estas categorías:

  • Anexo 1: Sectores de alta criticidad
    • Energía
      • Electricidad
      • Sistemas urbanos de calefacción y refrigeración
      • Crudo
      • Gas
      • Hidrógeno
    • Transporte
      • Transporte aéreo
      • Transporte por ferrocarril
      • Transporte marítimo y fluvial
      • Transporte por carretera
    • Banca
    • Infraestructuras de los mercados financieros
    • Sector sanitario
      • Prestadores de asistencia sanitaria
      • Farmacia
      • Fabricación
      • Laboratorios
      • Investigación y desarrollo
    • Agua
      • Agua potable
      • Aguas residuales
    • Espacio
      • Infraestructuras
      • Servicios
    • TIC
      • Infraestructura digital
      • Gestión de servicios de TIC (de empresa a empresa)
    • Administración pública

 

  • Anexo 2: Otros sectores críticos
    • Gestión de residuos
    • Alimentación
      • Producción
      • Transformación
      • Distribución
    • Fabricación
      • Fabricación, producción y distribución de productos químicos
      • Productos sanitarios
      • Productos informáticos y electrónicos
      • Productos ópticos
      • Material eléctrico
      • Maquinaria y equipos
      • Vehículos de motor
      • Remolques
      • Material de transporte
    • Servicios postales y de mensajería
    • Proveedores de servicios digitales
      • Mercados en línea
      • Motores de búsqueda en línea
      • Plataformas de servicios de redes sociales
    • Organismos de investigación

2) Independientemente de su tamaño, tu empresa estará sujeta a esta Directiva si:

  • tu empresa realiza una de las actividades antes mencionadas y uno de los siguientes criterios se aplica a tu empresa:
    • los servicios son prestados por:
      • proveedores de redes públicas de comunicaciones electrónicas o servicios de comunicaciones electrónicas disponibles para el público;
      • prestadores de servicios de confianza;
      • registros de nombres de dominio de primer nivel y proveedores de servicios de sistema de nombres de dominio;
    • la entidad sea el único proveedor en un Estado miembro de un servicio esencial para el mantenimiento de actividades sociales o económicas críticas;
    • una perturbación del servicio prestado por la entidad pudiera tener repercusiones significativas sobre la seguridad pública, el orden público o la salud pública;
    • una perturbación del servicio prestado por la entidad pudiera inducir riesgos sistémicos significativos, en particular para los sectores en los que tal perturbación podría tener repercusiones de carácter transfronterizo;
    • la entidad sea crítica a la luz de su importancia específica a nivel nacional o regional para el sector o tipo de servicio en concreto o para otros sectores interdependientes en el Estado miembro;
    • la entidad sea una Administración pública
      • central; o
      • regional, si presta servicios cuya perturbación podría tener un impacto significativo en actividades sociales o económicas críticas.
    • tu empresa se identifica como "entidad crítica" con arreglo a la Directiva (UE) 2022/2557
    • tu empresa presta servicios de registro de nombres de dominio.

 

La Directiva NIS 2 subcategoriza aún más estas entidades en "esenciales" e "importantes", pero las obligaciones para cualquiera de los dos tipos de empresa son básicamente las mismas.

España tiene libertad para ampliar el ámbito de las entidades afectadas por la Directiva NIS 2, por lo que algunas otras instituciones, como las educativas, podrían añadirse posteriormente a esta lista. Las autoridades españolas tienen hasta abril de 2025 para establecer una lista de entidades esenciales e importantes.

Sin embargo, la Directiva NIS 2 no se aplica a las entidades de la Administración pública que lleven a cabo sus actividades en los ámbitos de la seguridad nacional, la seguridad pública, la defensa o la garantía del cumplimiento de la ley, incluidas la prevención, la investigación, la detección y el enjuiciamiento de infracciones penales.

También te puede interesar nuestro artículo sobre el cumplimento RGPD y la protección de datos en empresas

 

¿Quiénes son las autoridades competentes?

La Directiva NIS 2 establece varias autoridades que supervisarán y harán cumplir las disposiciones de la Directiva, pero las dos autoridades con las que es más probable que te comuniques son las siguientes:

Autoridades competentes: Cada Estado miembro designará o establecerá una o más autoridades competentes encargadas de la ciberseguridad y de las funciones de supervisión a que se refiere esta Directiva.

Equipos de respuesta a incidentes de seguridad informática (CSIRT, por sus siglas en inglés): Este equipo tendrá responsabilidades tales como realizar un seguimiento y analizar las ciberamenazas, las vulnerabilidades y los incidentes a escala nacional y, previa solicitud, prestar asistencia a las entidades esenciales e importantes afectadas por lo que respecta a la supervisión en tiempo real o cuasirreal de sus sistemas de redes y de información;

Actualmente existen tres CSIRT en España:

  • CCN-CERT, del Centro Criptológico Nacional para el sector público.
  • INCIBE-CERT para la comunidad que no pertenezca al CCN-CERT, ciudadanos y entidades de derecho privado.
  • ESPDEF-CERT, del Mando Conjunto de Ciberdefensa, que coopera con los demás CSIRT en aquellas situaciones en la que estos requieran en apoyo de los operadores esenciales y aquellos que tengan incidencia en la Defensa Nacional

Consulta aquí cómo te puede ayudar un abogado especialista en cyberseguridad

 

Obligación de registro

A más tardar el 17 de abril de 2025, los Estados miembros deben elaborar una lista de las entidades esenciales e importantes así como de las entidades que prestan servicios de registro de nombres de dominio. A efectos de la elaboración de esa lista, se te requerirá que presentes la siguiente información a las autoridades competentes:

  1. el nombre de la entidad;
  2. la dirección y los datos de contacto actualizados, incluidas las direcciones de correo electrónico, los rangos de IP y los números de teléfono;
  3. si procede, el sector y el subsector pertinentes a que se refieren los anexos I o II de la presente Directiva, y
  4. si procede, una lista de los Estados miembros en los que prestáis servicios comprendidos en el ámbito de aplicación de la presente Directiva.

Cualquier modificación de estos datos debe comunicarse en un plazo de dos semanas a contar desde la fecha del cambio.

 

¿Qué medidas debemos aplicar para gestionar los riesgos de ciberseguridad?

Si la Directiva NIS 2 se aplica a tu empresa, el órgano de dirección de tu empresa debe aprobar las medidas para la gestión de riesgos de ciberseguridad adoptadas y supervisar su puesta en práctica.

Las medidas concretas a tomar dependerán de la situación, las normas europeas e internacionales pertinentes, el coste de su aplicación, las vulnerabilidades específicas de cada proveedor y prestador de servicios directo (y los resultados de las evaluaciones coordinadas de los riesgos de seguridad de las cadenas de suministro críticas a escala de la Unión realizadas), el grado de exposición de la entidad a los riesgos, el tamaño de la entidad y la probabilidad de que se produzcan incidentes y su gravedad, incluidas sus repercusiones sociales y económicas.

No obstante, las medidas se fundamentarán en un enfoque basado en todos los peligros que tenga por objeto proteger los sistemas de redes y de información y el entorno físico de dichos sistemas frente a incidentes, e incluirán al menos los siguientes elementos:

  1. las políticas de seguridad de los sistemas de información y análisis de riesgos;
  2. la gestión de incidentes;
  3. la continuidad de las actividades, como la gestión de copias de seguridad y la recuperación en caso de catástrofe, y la gestión de crisis;
  4. la seguridad de la cadena de suministro, incluidos los aspectos de seguridad relativos a las relaciones entre cada entidad y sus proveedores o prestadores de servicios directos;
  5. la seguridad en la adquisición, el desarrollo y el mantenimiento de sistemas de redes y de información, incluida la gestión y divulgación de las vulnerabilidades;
  6. las políticas y los procedimientos para evaluar la eficacia de las medidas para la gestión de riesgos de ciberseguridad;
  7. las prácticas básicas de ciberhigiene y formación en ciberseguridad;
  8. las políticas y procedimientos relativos a la utilización de criptografía y, en su caso, de cifrado;
  9. la seguridad de los recursos humanos, las políticas de control de acceso y la gestión de activos;
  10. el uso de soluciones de autenticación multifactorial o de autenticación continua, comunicaciones de voz, vídeo y texto seguras y sistemas seguros de comunicaciones de emergencia en la entidad, cuando proceda.

 

Obligación de formación

Los miembros de los órganos de dirección de tu empresa deberán asistir a formaciones en materia de ciberseguridad  y se os alentará para que ofrezcáis formaciones similares a vuestros empleados periódicamente al objeto de adquirir conocimientos y destrezas suficientes que les permitan detectar riesgos y evaluar las prácticas de gestión de riesgos de ciberseguridad y su repercusión en los servicios proporcionados por tu empresa.

 

Obligación de notificación

¿Cuándo hay que notificar un incidente? 

Tendréis que notificar al CSIRT o, en su caso, a la autoridad competente, cualquier incidente que tenga un impacto significativo en la prestación de vuestros servicios. Cuando proceda, también tendréis que comunicar a los destinatarios de vuestros servicios que puedan verse afectados por una ciberamenaza significativa las medidas o soluciones que dichos destinatarios pueden aplicar en respuesta a la amenaza.

Cabe señalar que el mero acto de notificar el incidente no elevará la responsabilidad de tu empresa.

 

¿Qué es un "incidente significativo"? 

Un incidente se considerará significativo si:

  1. ha causado o puede causar graves perturbaciones operativas de los servicios o pérdidas económicas para la entidad afectada;
  2. ha afectado o puede afectar a otras personas físicas o jurídicas al causar perjuicios materiales o inmateriales considerables.

 

La cronología de las notificaciones:

  1. sin demora indebida y, en cualquier caso, en el plazo de veinticuatro horas desde que se haya tenido constancia del incidente significativo, una alerta temprana en la que se indicará, cuando proceda, si cabe sospechar que el incidente significativo responde a una acción ilícita o malintencionada o puede tener repercusiones transfronterizas;
  2. sin demora indebida y, en cualquier caso, en el plazo de setenta y dos horas desde que se haya tenido constancia del incidente significativo, una notificación del incidente en la que se actualizará, cuando proceda, la información contemplada en la letra a) y se expondrá una evaluación inicial del incidente significativo, incluyendo su gravedad e impacto, así como indicadores de compromiso, cuando estén disponibles;
  3. a instancias de un CSIRT/autoridad competente, un informe intermedio con las actualizaciones pertinentes sobre la situación;
  4. un informe final, a más tardar un mes después de presentar la notificación del incidente contemplada en la letra b), en el que se recojan los siguientes elementos:
    • una descripción detallada del incidente, incluyendo su gravedad e impacto;
    • el tipo de amenaza o causa principal que probablemente haya desencadenado el incidente;
    • las medidas paliativas aplicadas y en curso;
    • cuando proceda, las repercusiones transfronterizas del incidente;
  5. en el caso de que el incidente siga en curso en el momento de la presentación del informe final contemplado en la letra d), tendréis que presentar un informe de situación en ese momento y un informe final en el plazo de un mes a partir de que hayan gestionado el incidente.

 

Qué esperar:

El CSIRT/la autoridad competente os ofrecerá, sin demora indebida y, cuando sea posible, en el plazo de veinticuatro horas tras la recepción de la alerta temprana antes mencionada, una respuesta, en particular sus comentarios iniciales sobre el incidente significativo y, a vuestras instancias, una orientación o asesoramiento operativo sobre la aplicación de posibles medidas paliativas. El CSIRT prestará apoyo técnico adicional cuando así lo solicitéis. Cuando se sospeche que el incidente es de naturaleza delictiva, el CSIRT/la autoridad competente también proporcionará orientación a efectos de denunciar el incidente significativo ante las autoridades encargadas de hacer cumplir la ley.

Cabe señalar que el CSIRT/la autoridad competente informará a otros Estados miembros afectados, si los hubiera, siempre preservando la seguridad, los intereses comerciales y la confidencialidad de tu empresa. También podrán, previa consulta con tu empresa, informar al público sobre el incidente o exigiros que lo hagáis cuando el conocimiento público sea necesario para evitar un incidente significativo, hacer frente a un incidente significativo en curso o cuando la divulgación del incidente redunde en el interés público.

 

Notificación voluntaria

También podréis notificar voluntariamente al CSIRT/a las autoridades competentes los incidentes, ciberamenazas y cuasiincidentes que no sean lo suficientemente significativos como para obligaros a informar, pero que consideréis oportuno notificar. Las notificaciones voluntarias no darán lugar a la imposición de obligaciones adicionales a tu empresa, la parte informante.

Infórmate más sobre la prevención de riesgos en la empresa

 

Esquemas europeos de certificación de la ciberseguridad

A los efectos de demostrar la conformidad con determinados requisitos de las medidas de gestión de riesgos de ciberseguridad, España tiene la libertad de exigir a tu empresa que utilice productos, servicios y procesos de TIC particulares, desarrollados por tu empresa o adquiridos a terceros, que estén certificados en virtud de un esquema europeo de certificación de la ciberseguridad. Asimismo, se te promoverá que utilicéis servicios de confianza cualificados.

 

Base de datos sobre el registro de nombres de dominio

Se exigirá que los registros de nombres de dominio de primer nivel y las entidades que prestan servicios de registro de nombres de dominio recopilen y mantengan datos precisos y completos sobre el registro de nombres de dominio en una base de datos con la diligencia debida, de conformidad con el Derecho de la Unión en materia de protección de datos por lo que respecta a los datos de carácter personal.

La información de dicha base de datos incluirá:

  • el nombre del dominio;
  • la fecha de registro;
  • el nombre del solicitante, su dirección de correo electrónico de contacto y su número de teléfono;
  • la dirección de correo electrónico de contacto y el número de teléfono del punto de contacto que administra el nombre de dominio en caso de que no sean los del solicitante.

Si en tu empresa prestéis estos servicios, deberéis contar con políticas y procedimientos públicos, incluidos procedimientos de verificación, para garantizar que dichas bases de datos incluyan información precisa y completa. También hay que hacer públicos los datos de registro del nombre de dominio que no sean de carácter personal, conceder acceso a datos específicos previa solicitud lícita y debidamente justificada, y cooperar con otros registros de nombres de dominio de primer nivel y entidades que prestan servicios de registro de nombres de dominio para evitar la duplicación de la recopilación de datos.

 

Sanciones y medidas de ejecución

Ojo: no todas las medidas de ejecución de las autoridades serán aplicables a las entidades de la Administración pública.

Supervisión de las autoridades competentes 

Tu empresa tendrá que someterse a la supervisión de las autoridades competentes, lo que incluye, por ejemplo, someterse a inspecciones in situ, auditorías de seguridad independientes, solicitudes de información, etc. En función del resultado de esta supervisión, las autoridades podrán apercibir por el incumplimiento, adoptar instrucciones vinculantes, ordenar el cese de determinadas actividades, etc.

En caso de que esas medidas de ejecución no conduzcan a vuestro cumplimiento de la ley, y no se adopten las medidas que os han pedido en el plazo establecido, las autoridades competentes estarán facultadas para:

  • Suspender temporalmente (o solicitar legalmente que suspenda temporalmente) una certificación o autorización referente a una parte o a la totalidad de los servicios o actividades pertinentes prestados por tu empresa.
  • Solicitar legalmente que se prohíba temporalmente a su director general o representante legal ejercer funciones de dirección.

hasta que adoptéis las medidas necesarias para subsanar las deficiencias o cumplir los requisitos de la autoridad.

Los representantes legales de tu empresa se considerarán responsables por el incumplimiento de su deber de garantizar el cumplimiento de esta Directiva.

 

Determinación de las medidas adecuadas

A la hora de determinar las medidas adecuadas, la autoridad tendrá en cuenta la gravedad del incumplimiento, la duración, todo incumplimiento anterior relevante, todo prejuicio causado, cualquier intencionalidad o negligencia, cualesquiera medidas adoptadas para prevenir o reducir los prejuicios, la adhesión a códigos de conducta o a mecanismos de certificación aprobados y la cooperación con las autoridades.

 

Multas administrativas

Vuestro incumplimiento también puede dar lugar a la imposición de una multa administrativa de hasta 10.000.000 EUR o un máximo del 2% del volumen de negocios anual total mundial de la empresa durante el ejercicio financiero anterior.

 

Si la Directiva NIS 2 se aplica a mi empresa, ¿cuándo debemos empezar a cumplir nuestras obligaciones?

España tiene hasta el 17 de octubre de 2024 para adoptar y publicar las medidas que den cumplimiento a lo establecido en esta Directiva, y dichas medidas serán de aplicación a partir del día siguiente, 18 de octubre. Sin embargo, dado que esta Directiva puede entenderse como una ampliación de una ley ya existente, muchas de las medidas, o medidas similares, ya están en vigor de acuerdo con la anterior Directiva de ciberseguridad de la UE. Por ello, es muy recomendable empezar a planificar e implementar medidas y procedimientos que cumplan con esta Directiva lo antes posible, si no lo estáis haciendo ya.

Infórmate sobre todas las obligaciones de las empresas de más de 50 trabajadores

 

¿Buscas asesoramiento en materia de obligaciones de protección de datos? Haz clic en el siguiente enlace para conocer en qué podemos ayudarte: 

ASESORÍA PROTECCIÓN DE DATOS

 
Ver post completo