NIS2: Fortalecer la ciberseguridad de los sectores estratégicos de la UE

Con la sociedad y la economía plenamente digitalizadas, la ciberseguridad se ha convertido en una de las mayores preocupaciones de las instituciones públicas de la Unión Europea. Esto se está trasladando al marco normativo comunitario a través de iniciativas como la directiva CER, o el reglamento DORA y el proyecto TIBER-EU del BCE, estos dos últimos centrados en el sector bancario. En esta línea, el Consejo y el Parlamento Europeo vienen de aprobar la directiva NIS2, una actualización de la primera norma europea sobre ciberseguridad, aprobada en 2016, de cara a implementar un nivel de seguridad común en toda la UE y securizar sus sectores estratégicos.

NIS2 ayudará a armonizar las estrategias de ciberseguridad en toda la Unión y a mejorar los canales y mecanismos de transferencia de información entre los diferentes países e instituciones.

A continuación, vamos a analizar las claves de NIS2 y cómo contribuirá a fortalecer la ciberseguridad de las entidades, públicas y privadas que operan en sectores críticos del mercado.

1. NIS, una iniciativa pionera que se ha quedado corta

La directiva Network and Information Security (NIS) vio la luz hace más de un lustro, con la vista puesta en garantizar una protección frente a los ataques eficiente y homogénea en toda la Unión Europea. Este texto legal se centraba en tres cuestiones básicas:

• Fortalecer las capacidades de los países para protegerse y responder ante los ciberataques. Obligándolos a contar, por ejemplo, con un equipo de respuesta ante emergencias informáticas (CSIRT).
• Fomentar la colaboración transfronteriza, incluyendo la puesta en marcha del Grupo de Cooperación NIS.
• Encargar a los estados la supervisión nacional de los operadores de los sectores críticos del mercado. Incluyendo, también, a los proveedores de servicios digitales críticos, como el Cloud o los motores de búsqueda.

Esta norma supuso un paso adelante en la armonización de los protocolos de ciberseguridad y el fortalecimiento de las capacidades de los estados, pero su implementación fue difícil y sus resultados desiguales, tanto en lo que respecta a los sectores como a los diferentes países.

1.1. Desigual implementación

De tal manera que, en diversos estados, entidades críticas no fueron catalogadas como tales y no se vieron obligadas a implementar los requisitos de ciberseguridad establecidos por la directiva. Así, se dio la paradoja de que, por ejemplo, en un estado la práctica totalidad de los proveedores de asistencia médica se vieron cubiertos por las obligaciones de NIS y, en cambio, en otro, hospitales de gran envergadura no fueron incluidos en la aplicación de la directiva.

Si a estas limitaciones, le sumamos el hecho de que, en estos seis años, la digitalización se ha acelerado, alcanzando la práctica totalidad del tejido productivo europeo, se hizo evidente la necesidad de refrescar las medidas puestas en marcha. Por ello, la Comisión puso en marcha una propuesta para modificar y ampliar el alcance de la directiva: NIS2, un nuevo marco normativo común para securizar a las entidades públicas y privadas europeas involucradas en los sectores críticos.

2. Sectores cubiertos por NIS2 y entidades que deben aplicar la directiva

Precisamente, dos de las grandes transformaciones de NIS2 con respecto a la directiva original apuntan a la ampliación de los sectores críticos y al aumento de entidades que se verán obligadas a aplicar los requisitos de seguridad establecidos en la norma.

2.1. 15 sectores cubiertos: desde la salud al espacio

En la directiva original, los sectores considerados críticos y cuya seguridad debería ser fortalecida eran:

• Salud
• Transporte
• Infraestructura del mercado bancario y financiero
• Infraestructura digital
• Suministro de agua
• Energía
• Proveedores de servicios digitales

A estos siete sectores originales, de vital importancia para nuestro día a día como la energía o la banca, la NIS2 ha añadido ocho más, incluido el sector público:

• Proveedores de comunicaciones electrónicas, redes o servicios
• Servicios digitales como las plataformas de redes sociales o los centros de datos
• Aguas residuales y gestión de residuos
• Espacio
• Fabricación de productos críticos (farmacéuticos, médicos, químicos…)
• Servicios postales y de mensajería
• Alimentación
• Administración pública

Estos 15 sectores cubiertos por NIS2 aglutinan aquellas áreas cruciales para el desarrollo de la economía, pero también para el día a día de toda la ciudadanía europea.

Asimismo, se establece que esta nueva directiva no será de aplicación a aquellas entidades cuyas actividades formen parte de la defensa, la seguridad nacional, la seguridad pública, las fuerzas del orden y el poder judicial. Lo mismo sucederá con los parlamentos y los bancos centrales de los estados miembros de la UE.

2.2. Size-cap rule: inclusión de todas las entidades medianas y grandes

Como señalamos anteriormente, una de las principales limitaciones de la directiva NIS fue la decisión de dar un amplio margen de discrecionalidad a los estados para establecer los criterios en base a los cuales una organización era considerada operador de servicios esenciales (OES).

Por ello, NIS2 introduce la size-cap rule como criterio para determinar qué entidades son OES. Esta regla se centra en el tamaño de las organizaciones. De tal manera que todas aquellas que sean de tamaño medio o grande y operen en alguno de los sectores críticos cubiertos por la directiva NIS2, se verán obligadas a cumplir los requisitos de seguridad establecidos en ésta.

De esta manera, se busca profundizar en la harmonización de los protocolos y estrategias de ciberseguridad y evitar que se produzcan notorias diferencias en el mercado interior.

3. Las claves de NIS2

Más allá de la ampliación de las compañías obligadas a cumplir los dictámenes de la directiva y la inclusión de las administraciones públicas, NIS2 amplía el alcance de las medidas que figuraban en la directiva original, de cara a:

• Establecer una línea de base común en materia de ciberseguridad.
• Aumentar la resiliencia de las compañías e instituciones.
• Reducir las incoherencias en el mercado.
• Armonizar los requisitos de seguridad, las políticas de notificación de incidentes, los mecanismos de supervisión y las capacidades de las autoridades estatales.
• Optimizar los canales de transmisión de información y conocimiento entre los estados.

3.1. Gestión de riesgos de ciberseguridad

El texto establecerá una lista de siete elementos clave que todas las compañías e instituciones incluidas en el ámbito de aplicación deberán implementar:

1. Análisis de riesgos y políticas de seguridad de los sistemas de información
2. Gestión de incidentes. Incluyendo la prevención, la detección, la respuesta y la recuperación ante incidentes.
3. Continuidad del negocio y gestión de crisis.
4. Seguridad de la cadena de suministro. Incluyendo los aspectos de seguridad relacionados con las relaciones con los proveedores, como aquellos que prestan servicios de procesamiento de datos.
5. Seguridad en la adquisición, desarrollo y mantenimiento de redes y sistemas de información. Incluyendo la gestión y divulgación de vulnerabilidades.
6. Políticas y procedimientos para evaluar la eficacia de las medidas de gestión de riesgos de ciberseguridad. Como auditorías de seguridad o pentesting.
7. Política sobre el uso de la criptografía y la encriptación. Debe garantizarse, también, la seguridad de los recursos humanos, las políticas de control de acceso y la gestión de los activos.

3.2. Notificación de incidentes

Además de las medidas que se deben tomar para securizar los sistemas de las entidades de los sectores críticos, NIS2 también estipula un sistema de notificación de los incidentes de ciberseguridad en dos fases.

Así, las empresas afectadas por un incidente de este tipo tendrán 24 horas desde que detectan el mismo, para presentar un informe inicial. Con ello, se agiliza la obligación de notificación.

En la segunda fase, tendrán que presentar un informe final, a más tardar un mes después, de cara a obtener datos más precisos sobre el incidente y contribuir a una mayor transferencia de conocimiento. Y, así, evitar ciberataques o problemas futuros.

3.3. Sanciones administrativas

Junto a las medidas de seguridad y las notificaciones de los incidentes, NIS2 establece una serie de sanciones a aquellas organizaciones que incumplan su obligación de implementar las primeras y de llevar a cabo las segundas.

Dichas sanciones incluyen instrucciones vinculantes, la obligación de aplicar las recomendaciones hechas por una auditoría de seguridad y multas pecuniarias, que pueden llegar hasta los 10 millones de euros o al 2% del volumen de negocios de la compañía en cuestión, a nivel mundial.

De tal manera que los estados podrán supervisar de manera efectiva que las medidas incluidas en la directiva NIS2 se cumplen y, en caso de que esto no se produzca, contarán en su poder con la posibilidad de emplear estas sanciones administrativas.

3.4. Mejora de los mecanismos de comunicación y de respuesta colectiva

La cooperación interestatal está en la base misma de la creación y el funcionamiento de la Unión Europea. Por ello, no debe sorprendernos que la nueva directiva apueste por crear mecanismos de cooperación en una materia global y tan compleja como la ciberseguridad.

Con la vista puesta en mejorar la capacidad de preparación y respuesta, NIS2 establece:

• La adopción de medidas para aumentar el nivel de confianza entre las diversas autoridades competentes en lo relativo a la seguridad y la lucha contra los ciberataques.
• La compartición de más y mejor información sobre los incidentes y vulnerabilidades.
• El desarrollo de normas y procedimientos para gestionar crisis a gran escala.

El objetivo que persigue NIS2 en está área es mejorar la forma en la que la UE previene, gestiona y responde a los incidentes de ciberseguridad. Para ello, se estipula de manera clara cuáles son las responsabilidades de cada actor implicado, se apuesta por una planificación adecuada y se fomentar una mayor colaboración en el seno de la Unión.

Asimismo, la nueva directiva establece un marco de gestión de crisis para toda la UE, exigiendo a los estados que:

• Adopten un plan de gestión de crisis
• Designen a las autoridades nacionales que deberán participar en la respuesta a los incidentes a nivel de la UE.

3.5. Red Europea de Organización de Enlace para Crisis Cibernéticas (EU-CyCLONe)

En la misma línea, NIS2 servirá para poner en marcha la Red de Organización de Enlace para Crisis Cibernéticas. Dicha red tiene como misión apoyar la gestión coordinada de los incidentes cuyo impacto trasciende las fronteras de los estados. Algo cada vez más habitual, como consecuencia de la digitalización.

Además, este mecanismo está pensado para fomentar el intercambio ágil y regular de información entre las diferentes autoridades competentes.

La puesta en marcha de EU-CyCLONe no supondrá la desaparición del Grupo de Cooperación NIS, creado por la directiva aún en vigor. Sino que esta herramienta de colaboración ve reforzada su relevancia en lo que respecta a la toma de decisiones y al aumento de la cooperación.

3.6. Estrategia nacional de ciberseguridad y sistematización de la gestión

Más allá de la apuesta por estas estructuras que fortalecerán la cooperación interestatal, NIS2 sigue exigiendo que cada país tenga una estrategia nacional de ciberseguridad. Así como el deber de establecer las autoridades competentes en supervisar que la directiva se cumple en el ámbito nacional.

Los estados también deben designar al CSIRT, el equipo encargado de gestionar las notificaciones de las incidencias y crisis de seguridad. Y establecer los puntos de contacto únicos (SPOC), para centralizar la información y facilitar la coordinación con los demás estados de la UE.

3.7. Una pieza más en el engranaje de ciberseguridad de la UE

Como indicamos al inicio del artículo, NIS2 se encuadra dentro del esfuerzo regulatorio que están llevando a cabo las instituciones comunitarias, desde la Comisión hasta el BCE, para securizar los sectores críticos de la economía y la sociedad europeas, y desarrollar un marco de ciberseguridad coherente y eficaz.

Por ende, NIS2 es plenamente coherente con respecto a tres iniciativas:

• La revisión de la directiva CER, sobre la resiliencia de las entidades críticas, propuesta a la par que NIS2, pero centrada en la lucha contras las amenazas físicas a los sectores clave.
• El reglamento DORA, de resiliencia operativa digital de las entidades financieras.
• Un código de red sobre ciberseguridad con normas sectoriales específicas, para los flujos eléctricos transfronterizos.

Habida cuenta de la concatenación de estos proyectos, queda patente que la Unión Europea va a seguir dedicando tiempo y recursos a crear un marco regulatorio común en materia de ciberseguridad que garantice la protección de las empresas, las instituciones y la ciudadanía frente a los ataques maliciosos y los incidentes de seguridad.

Por ello, las compañías deben estar preparadas para afrontar todos los cambios que se avecinan, cumplir con las regulaciones comunitarias y estatales y contar con sistemas de seguridad plenamente optimizados. Sobre todo, aquellas que desarrollan sus actividades en sectores estratégicos o críticos.

4. Ponerse en marcha ante la aprobación de la normativa

Resulta fundamental que todas las entidades medianas o grandes de los sectores estratégicos comiencen a trabajar en las medidas y los sistemas de notificación de incidentes que NIS2 convierte en obligatorios, prestando especial atención a la securización de la cadena de suministro.

En este sentido, las organizaciones deben efectuar, en primer lugar, una auditoría de seguridad de todos sus sistemas, software y hardware. Así como contratar servicios de ciberseguridad como el pentesting, para detectar todas las vulnerabilidades existentes y poner en marcha una estrategia de seguridad que les ponga solución.

Asimismo, dicha estrategia debe contar con mecanismos para prevenir nuevos riesgos y detectar y responder frente a los ciberataques. E implementar medidas para securizar los sistemas tanto con respecto a los atacantes externos como a los internos, siguiendo los postulados de la filosofía Zero Trust.

Teniendo en cuenta lo importante que es la transmisión ágil y eficaz de la información en las medidas que incluye NIS2, también se debe contar con protocolos eficientes, en los que cada actor sepa cuál es su función y qué canales de comunicación debe emplear.

Finalmente, se debe hacer un esfuerzo en formar y concienciar a todos los trabajadores de la organización, no solo aquellos ligados a la implementación de la estrategia de ciberseguridad.

4.1. Ir más allá para llegar antes al futuro

La directiva busca incentivar la puesta en marcha programas de seguridad que vayan más allá de los requerimientos que forman parte de la línea base de NIS2.

A la velocidad con la que evoluciona el mundo en general, y el proceso de digitalización en particular, la ciberseguridad será cada vez más relevante en nuestras vidas y en el funcionamiento de compañías e instituciones públicas.

Por ello, la seguridad y la lucha contra los ciberataques deben formar parte de la estrategia empresarial, como un elemento nuclear más.

Aquellas compañías que realicen una apuesta seria por securizar sus sistemas y salvaguardar su información, estarán mejor posicionadas para afrontar el futuro con éxito. Y para evitar crisis de ciberseguridad que impacten con extraordinaria gravedad en el funcionamiento del negocio y en su reputación.

Por ello, en Tarlogic Security, ponemos a su disposición un amplio bagaje en servicios de ciberseguridad, ciberinteligencia y seguridad ofensiva y la experiencia acumulada por nuestros profesionales para detectar riesgos y fortalecer la protección de los activos de su negocio.

NIS2, TIBER-EU y DORA demuestran que la Unión Europea está determinada a fortalecer sus sectores estratégicos frente a ataques que puedan impactar directamente en nuestras vidas y dejar expuestas a las compañías del mercado único.