Blog de JD Services

Josemi 18 octubre 2024

Compartir:

Nota importante: Cada negocio es siempre el único responsable del cumplimiento de cualquier normativa que le sea aplicable. Este resumen es inexacto, está sobre-simplificado y tiene un fin meramente divulgativo y comercial. Está orientado a pequeños y medianos negocios que no son prestadores de servicios de confianza, no prestan servicios a la Administración pública, no son el proveedor único de un servicio esencial, no tienen importancia específica, no suponen riesgos sistémicos, no tienen repercusiones significativas sobre el público, no son entidades financieras ni proveedores del sector financiero, no son desarrolladores/fabricantes de software/hardware y no están sujetos a la directiva CER; omitiendo completamente consideraciones para otros supuestos. Podría, además, no estar actualizado.

Este resumen no supone asesoramiento legal ni reemplaza a una formación/certificación/auditoría. Consulte con su abogado antes de implementar cualquier medida. JD Services no presta servicios legales de ningún tipo. Le recomendamos recibir formación especializada al respecto. No proporcionamos ninguna garantía ni asumimos ninguna responsabilidad al respecto.

Este resumen es propiedad intelectual de JD Services y todos sus derechos quedan reservados.

Información general

¿Qué es NIS 2?

NIS 2 (en español, SRI 2) es la nueva directiva europea de ciberseguridad.

Reemplaza a la anterior NIS de 2016, que tenía un ámbito muchísimo más limitado en cuanto a sectores, y no aplicaba a pequeños negocios.

¿A quién aplica NIS 2?

El ámbito de aplicación de NIS2 incluye:

• Empresas medianas o grandes (que presten sus servicios o lleven a cabo sus actividades en la Unión Europea) que pertenezcan a sectores de alta criticidad y otros sectores críticos
• Empresas de cualquier tamaño que presten:
  • Servicios de registro de dominio (incluso como revendedor o agente)
  • Alguno de los siguientes servicios de telecomunicaciones:
    • Red pública de comunicaciones electrónicas
    • Acceso a Internet
    • Comunicaciones interpersonales, incluyendo:
      • basados en numeración (telefonía tradicional o VoIP)
      • independientes de la numeración (correo electrónico, mensajería instantánea)
  • Servicios de confianza
  • Servicios cuya perturbación pudiera:
    • tener repercusiones significativas sobre la seguridad pública, el orden público o la salud pública
    • pudiera inducir riesgos sistémicos significativos
• Entidades de cualquier tamaño consideradas críticas conforme a la directiva CER
• Entidades de cualquier tamaño que sean el único proveedor en un país de un servicio esencial para el mantenimiento de actividades sociales o económicas críticas
• Administración pública

Nota: Este es el ámbito de la aplicación general, pero cada país puede incluir sectores adicionales al trasponer la directiva europea a su legislación nacional.

Las empresas ubicadas fuera de la UE y sujetas a NIS 2, deberán designar un representante en la UE.

Importante: Aunque una determinada empresa pueda no estar obligada por legislación a cumplir con las medidas de seguridad de NIS2, sus clientes que sean entidades esenciales/importantes podrían necesitar que sus proveedores implementen medidas de seguridad equivalentes, a fin de cumplir con sus propias obligaciones de seguridad de cadena de suministro.

Adicionalmente, de manera voluntaria, cualquier negocio que sufra incidentes de seguridad significativos podrá notificar a los CSIRT bajo NIS 2.

Cabe destacar que las medidas dictadas bajo NIS 2 son altamente recomendables para cualquier negocio, incluso fuera del ámbito de aplicación de la directiva, y también facilitan el cumplimiento de las obligaciones de seguridad del RGPD / GDPR (especialmente para encargados del tratamiento).

¿Cuándo entra en vigor y se aplica?

La directiva entró en vigor del 16 de enero de 2023.

Los países debían trasponer a su legislación nacional la directiva a más tardar el 17 de octubre de 2024.
23 países (Estonia, España, Bulgaria, Chequia, Dinamarca, Alemania, Irlanda, Grecia, Francia, Chipre, Letonia, Luxemburgo, Hungría, Malta, Países Bajos, Austria, Polonia, Portugal, Rumanía, Eslovenia, Eslovaquia, Finlandia y Suecia) no traspusieron la directiva al completo a tiempo, y a finales de noviembre la Comisión Europea les abrió expedientes por incumplimiento, dándoles un plazo de 2 meses para hacerlo.

En general, las disposiciones se aplicarán desde el 18 de octubre de 2024 (o cuando el país trasponga).

De manera indirecta, clientes de un negocio podrían necesitar antes el cumplimiento de las medidas de seguridad por parte de sus proveedores, como parte de sus obligaciones de seguridad de cadena de suministro.

El reglamento de ejecución con respecto a proveedores de servicios digitales, infraestructura digital y servicios gestionados (MSP/MSSP) entró en vigor el 7 de noviembre de 2024. Justo a continuación, ENISA inicio una consulta pública sobre nuevas directrices para estos sectores, la cual estará abierta hasta el 9 de diciembre.

Definición de términos

A fin de entender correctamente la directiva, debemos tener siempre presente qué se entiende por ciertos términos:

• Sectores de alta criticidad:
  • Energía:
    • Electricidad
    • Sistemas urbanos de calefacción y de refrigeración
    • Crudo
    • Gas
    • Hidrógeno
  • Transporte:
    • Transporte aéreo
    • Transporte por ferrocarril
    • Transporte marítimo y fluvial
    • Transporte por carretera
  • Banca
  • Infraestructuras de los mercados financieros
  • Sector sanitario
  • Agua potable
  • Aguas residuales
  • Infraestructura digital (Proveedores de puntos de intercambio de internet, servicios de DNS*, servicios de computación en la nube, centro de datos, redes de distribución de contenidos, servicios de confianza, redes públicas de comunicaciones electrónicas, servicios de comunicaciones electrónicas disponibles para el público, registros de nombres de dominio de primer nivel) [*los servicios de hosting web también suelen incluir la resolución autoritativa de nombres de dominio]
  • Gestión de servicios de TIC B2B (MSP, MSSP)
  • Entidades de la Administración pública
  • Espacio
• Otros sectores críticos:
  • Servicios postales
  • Gestión de residuos
  • Fabricación, producción y distribución de sustancias y mezclas químicas
  • Producción, transformación y distribución de alimentos
  • Fabricación:
    • Fabricación de productos sanitarios y productos sanitarios para diagnóstico in vitro
    • Fabricación de productos informáticos, electrónicos y ópticos
    • Fabricación de material eléctrico
    • Fabricación de maquinaria y equipo n.c.o.p.
    • Fabricación de vehículos de motor, remolques y semirremolques
    • Fabricación de otro material de transporte
  • Proveedores de servicios digitales (proveedores de mercados en línea, motores de búsqueda en línea o plataformas de servicios de redes sociales)
  • Investigación
• Entidad: Persona física o jurídica
• Entidades esenciales:
  • Empresas grandes de sectores de alta criticidad
  • Empresas medianas o grandes que sean proveedores de redes públicas de comunicaciones electrónicas o de servicios de comunicaciones electrónicas disponibles para el público
  • Empresas de cualquier tamaño que sean prestadores cualificados de servicios de confianza, registros de nombre de dominio de primer nivel, proveedores de servicios de DNS
  • Entidades de la Administración pública
  • Cualquier otra entidad que un país identifique excepcionalmente como esencial
• Entidades importantes:
  • Cualquier otra empresa, sujeta a NIS2, de sectores de alta criticidad
  • Cualquier otra empresa, sujeta a NIS2, de otros sectores críticos
• Proveedor de servicios gestionados (MSP): una entidad que presta servicios relacionados con la instalación, la gestión, la explotación o el mantenimiento de productos, redes, infraestructuras o aplicaciones de TIC o cualesquiera otros sistemas de redes y de información, a través de la asistencia o la administración activa
• Proveedor de servicios de seguridad gestionados (MSSP): un proveedor de servicios gestionados que lleva a cabo actividades relativas a la gestión de riesgos de ciberseguridad o presta asistencia para ello

Obligaciones

Gobernanza

Los países velarán por que los órganos de dirección de las entidades esenciales e importantes aprueben las correspondientes medidas para la gestión de riesgos de ciberseguridad adoptadas, supervisen su puesta en práctica y respondan por el incumplimiento por parte de las entidades de dichas medidas.

Los países garantizarán que los miembros de los órganos de dirección de las entidades esenciales e importantes deban asistir a formaciones y alentarán a estas entidades para que ofrezcan formaciones similares a sus empleados periódicamente al objeto de adquirir conocimientos y destrezas suficientes que les permitan detectar riesgos y evaluar las prácticas de gestión de riesgos de ciberseguridad y su repercusión en los servicios proporcionados por la entidad.

Medidas para la gestión de riesgos de ciberseguridad

Las empresas esenciales e importantes deberán tomar medidas técnicas, operativas y organizativas adecuadas y proporcionadas para gestionar sus riesgos de ciberseguridad. Estas deberán incluir como mínimo los siguientes elementos:

1. Política de seguridad de la información y Plan de tratamiento de riesgos (RTP)
2. Política de detección y gestión de incidentes
3. Plan de continuidad de negocio, recuperación de desastres, y copias de seguridad (BCP/DRP); y Plan de gestión de crisis
4. Seguridad de la cadena de suministro (SCRM)
5. Seguridad en el desarrollo y el mantenimiento de sistemas de redes y de información, incluida la gestión y divulgación de las vulnerabilidades
6. Políticas y procedimientos para la evaluación de la ciberseguridad
7. Prácticas básicas de ciberhigiene y formación en ciberseguridad
8. Políticas y procedimientos relativos a la utilización de criptografía
9. Seguridad de los recursos humanos, las políticas de control de acceso y la gestión de activos
10. Uso de soluciones de autenticación multifactorial o de autenticación continua, comunicaciones de voz, vídeo y texto seguras y sistemas seguros de comunicaciones de emergencia en la entidad, cuando proceda

Adicionalmente, ciertos sectores específicos están sujetos a regulaciones sectoriales adicionales. Entre ellas:

• Proveedores de servicios digitales, infraestructura digital y servicios gestionados (MSP/MSSP) están sujetos a un Reglamento de ejecución con medidas de seguridad concretas
• Los negocios que presten servicios de registro de nombres de dominio están sujetos a unas recomendaciones específicas
• Las entidades financieras (y sus proveedores tecnológicos) están sujetos al reglamento DORA
• Los productos digitales están sujetos a la Ley de Ciberresiliencia (CRA)

La Comisión Europea también podrá adoptar, en cualquier momento, nuevos actos de ejecución con medidas específicas para otros sectores.

Nota: No dude en contactarnos sobre nuestro ofrecimiento como MSSP, si desea que le ayudemos a implementar medidas técnicas para mejorar la ciberseguridad de su negocio.

Utilización de esquemas europeos de certificación de la ciberseguridad

Para asegurar la conformidad con ciertas medidas de seguridad adecuadas, los países y/o la Comisión Europea podrían exigir, en un futuro, que ciertas categorías de entidades esenciales e importantes deban utilizar servicios de TIC certificados bajo el Reglamento sobre la Ciberseguridad (Cybersecurity Act). Existe actualmente una iniciativa legislativa en curso para establecer una certificación de MSSPs por parte de ENISA.

Asimismo, los países promoverán que las entidades esenciales e importantes utilicen servicios de confianza cualificados (QES).

Notificación de incidentes

En caso de sufrir incidentes de ciberseguridad significativos, y como parte de su plan de respuesta a incidentes, los negocios deberán notificar inmediatamente a su CSIRT (equipos de respuesta a incidentes de seguridad informática, establecidos por cada país) y a los clientes afectados, conforme a un procedimiento específico, detallado en el artículo 23 de la directiva.

Los proveedores de servicios digitales, infraestructura digital y servicios gestionados (MSP/MSSP) están sujetos a criterios específicos para determinar en que casos los incidentes son significativos.

Como clarificación, este requisito es adicional al requisito de notificar brechas de datos personales establecido en el RGPD.

Registro europeo de entidades

La ENISA (Agencia de la Unión Europea para la Ciberseguridad) mantendrá un registro de negocios proveedores de servicios digitales, infraestructura digital y servicios gestionados (MSP/MSSP), así como aquellos que presenten servicios de registro de dominios.

Los negocios afectados deberán inscribirse en dicho registro antes del 17 de enero de 2025.

Listados nacionales de entidades esenciales e importantes

A más tardar el 17 de abril de 2025, los países deben elaborar una lista de las entidades esenciales e importantes, así como de las entidades que prestan servicios de registro de nombres de dominio.

Para ello, los países requerirán a dichas entidades que presenten cierta información a las autoridades competentes.

Sometimiento a auditorías

Los negocios deberán colaborar con auditorías e inspecciones, que las autoridades competentes podrán realizar en cualquier momento a los negocios sujetos a NIS 2.

Base de datos sobre el registro de nombres de dominio

Los negocios que presten servicios de registro de nombres de dominio (incluso como agentes o revendedores) deberán mantener una base de datos con datos precisos y completos sobre los dominios.

También deberán hacer públicas sus políticas y procedimientos de verificación sobre dichos datos.

Consecuencias de incumplimientos de NIS 2

Multas administrativas

En caso de incumplir NIS2, podrían ser impuestas al negocio multas administrativas de importe variable en función del incumplimiento y tipo de negocio.

Estas multas tienen un importe máximo de:

• Para entidades esenciales: hasta 10.000.000 EUR (o 2% de la facturación, lo que sea mayor)
• Para entidades importantes: hasta 7.000.000 EUR (o 1.4% de la facturación, lo que sea mayor)

Nota: Conforme a las obligaciones de gobernanza, los países también podrían optar por exigir responsabilidades personales a los directivos de las entidades infractoras.

Responsabilidad personal civil/penal de los órganos de dirección

La directiva europea NIS2 no establece directamente responsabilidad penal o civil con respecto a las personas miembros de los órganos de dirección de las entidades sujetas a la directiva.

Sin embargo, si contempla que los países puedan decidir (al trasponerla) establecer penas de cárcel para los directivos de entidades que la incumplan, además de responsabilidad personal monetaria por los perjuicios sufridos por terceros en consecuencia.

Incumplimiento indirecto de RGPD

El RGPD impone obligación de tener medidas de seguridad adecuadas. Y NIS 2 incluye específicamente provisiones de que en casos de incumplimiento de NIS2 se deben abrir también investigaciones por posible incumplimiento del RGPD.

Bajo el RGPD, si se producen brechas de seguridad, también puede corresponder abonar indemnizaciones a los afectados.

Recursos útiles

• ENISA (Agencia de la Unión Europea para la Ciberseguridad)
• DIRECTIVA (UE) 2022/2555 de 14 de diciembre de 2022 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión (Directiva SRI 2)
• Directrices de la Comisión sobre la aplicación del artículo 3, apartado 4, de la Directiva (UE) 2022/2555 (Directiva SRI 2)
• Directrices de la Comisión sobre la aplicación del artículo 4, apartado 1, y (2) de la Directiva (UE) 2022/2555 (Directiva SRI 2)
• Reglamento de Ejecución (UE) 2024/2690, de 17 de octubre de 2024, por el que se establecen las disposiciones de aplicación de la Directiva (UE) 2022/2555 en lo que respecta a los requisitos técnicos y metodológicos de las medidas para la gestión de riesgos de ciberseguridad y en el que se detallan los casos en que un incidente se considera significativo con respecto a los proveedores de servicios de DNS, los registros de nombres de dominio de primer nivel, los proveedores de servicios de computación en nube, los proveedores de servicios de centro de datos, los proveedores de redes de distribución de contenidos, los proveedores de servicios gestionados, los proveedores de servicios de seguridad gestionados, los proveedores de mercados en línea, motores de búsqueda en línea y plataformas de servicios de redes sociales, y los proveedores de servicios de confianza
• Recommendations of NIS Cooperation Group for the implementation of NIS2 Directive Article 28 (Database of domain name registration data)
• Reglamento (UE) 2019/881, de 17 de abril de 2019, relativo a ENISA y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación («Reglamento sobre la Ciberseguridad»)
• Recomendación de la Comisión, de 6 de mayo de 2003, sobre la definición de microempresas, pequeñas y medianas empresas
• Ciberseguridad: los Estados miembros acuerdan una posición común relativa a una modificación específica del Reglamento sobre la Ciberseguridad – Consilium
• ¿Qué es DORA y a quién aplica?
• ¿Qué es CRA y a quién aplica?

¿Quiere contratar nuestros servicios? Solicitar información