Resumen de NIS 2 / SRI 2 para pequeños negocios

JD Services
Josemi 6 julio 2024
Compartir:

Nota importante: Cada negocio es siempre el único responsable del cumplimiento de cualquier normativa que le sea aplicable. Este resumen es inexacto, está sobre-simplificado y tiene un fin meramente divulgativo y comercial. Está orientado a pequeños negocios que no son prestadores de servicios de confianza, no prestan servicios a la Administración pública, no son el proveedor único de un servicio esencial, no tienen importancia específica, no suponen riesgos sistémicos, no tienen repercusiones significativas sobre el público, no son son entidades financieras ni proveedores del sector financiero, y no están sujetos a la directiva CER; omitiendo completamente consideraciones para otros supuestos. Podría, además, no estar actualizado.

Este resumen no supone asesoramiento legal ni reemplaza a una formación/certificación/auditoría. Consulte con su abogado antes de implementar cualquier medida. JD Services no presta servicios legales de ningún tipo. Le recomendamos recibir formación especializada al respecto. No proporcionamos ninguna garantía ni asumimos ninguna responsabilidad al respecto.

Este resumen es propiedad intelectual de JD Services y todos sus derechos quedan reservados.

Información general

¿Qué es NIS 2?

NIS 2 (en español, SRI 2) es la nueva directiva europea de ciberseguridad.

Reemplaza a la anterior NIS de 2016, que tenía un ámbito muchísimo más limitado, y no aplicaba a pequeños negocios.

¿A quién aplica NIS 2?

NIS 2 se aplica principalmente a negocios medianos y grandes.
Sin embargo, NIS 2 también se aplica de manera obligatoria a pequeños negocios, si estos se encuentran en la Unión Europea o tienen clientes en la Unión Europea, y prestan:

  • Servicios de registro de nombres de dominio (incluso como revendedor o agente)
  • Alguno de los siguientes servicios de telecomunicaciones:
    • Red pública de comunicaciones electrónicas
    • Acceso a Internet
    • Comunicaciones interpersonales, incluyendo:
      • basados en numeración (telefonía tradicional o VoIP)
      • independientes de la numeración (correo electrónico*, webs/aplicaciones de mensajería instantánea) [*hosting web también involucra correo electrónico]

Nota importante: Este es el ámbito de la aplicación general, pero cada país puede incluir sectores adicionales al trasponer la directiva europea a su legislación nacional.

Las empresas ubicadas fuera de la UE y sujetas a NIS 2, deberán designar un representante en la UE.

Adicionalmente, de manera voluntaria, cualquier negocio que sufra incidentes de seguridad significativos podrá notificar a los CSIRT bajo NIS 2.

Cabe destacar que las medidas dictadas bajo NIS 2 son altamente recomendables para cualquier negocio, incluso fuera del ámbito de aplicación de la directiva, y también facilitan el cumplimiento de las obligaciones de seguridad del RGPD / GDPR (especialmente para encargados del tratamiento).

¿Cuándo entra en vigor y se aplica?

La directiva entró en vigor del 16 de enero de 2023.

Los países están en proceso de trasponer a su legislación nacional la directiva, y deberán hacerlo a más tardar el 17 de octubre de 2024.

Las disposiciones se aplicarán desde el 18 de octubre de 2024.

Obligaciones

Medidas para la gestión de riesgos de ciberseguridad

Los negocios deberán tomar medidas técnicas, operativas y organizativas adecuadas y proporcionadas para gestionar sus riesgos de ciberseguridad. Estas deberán incluir como mínimo los siguientes elementos:

  1. política de seguridad informática
  2. plan de respuesta a incidentes
  3. plan de continuidad de negocio (BCP) y plan de recuperación de desastres (DRP)
  4. seguridad de la cadena de suministro, incluidos los aspectos de seguridad relativos a las relaciones entre cada entidad y sus proveedores o prestadores de servicios directos
  5. seguridad en la adquisición, el desarrollo y el mantenimiento de sistemas de redes y de información, incluida la gestión y divulgación de las vulnerabilidades
  6. políticas y los procedimientos para evaluar la eficacia de las medidas para la gestión de riesgos de ciberseguridad
  7. prácticas básicas de ciberhigiene y formación en ciberseguridad
  8. políticas y procedimientos relativos a la utilización de criptografía y, en su caso, de cifrado
  9. seguridad de los recursos humanos, las políticas de control de acceso y la gestión de activos
  10. uso de soluciones de autenticación multifactorial o de autenticación continua, comunicaciones de voz, vídeo y texto seguras y sistemas seguros de comunicaciones de emergencia en la entidad, cuando proceda

Adicionalmente, la Comisión Europea publicará en agosto/septiembre de 2024 actos de ejecución estableciendo los requisitos técnicos y metodológicos de estas medidas con respecto a cierto tipo de negocios (incluyendo proveedores de hosting y/o servicios gestionados). Estos requisitos están actualmente en consulta pública.

Además, la Unión Europea podrá establecer regulaciones de ciberseguridad complementarias para ciertos sectores. Por ejemplo, DORA (Reglamento sobre la resiliencia operativa digital del sector financiero) complementa a NIS2 para proveedores tecnológicos de entidades financieras.

La Comisión Europea también podrá adoptar, en cualquier momento, actos delegados que impongan medidas específicas adicionales o requerimientos de certificación, y los cuales entrarían en vigor en el plazo de 2 meses tras su publicación.

Nota: No dude en contactarnos, si desea implementar medidas técnicas para mejorar la ciberseguridad de su negocio.

Notificaciones

En caso de sufrir incidentes de ciberseguridad significativos, y como parte de su plan de respuesta a incidentes, los negocios deberán notificar inmediatamente a su CSIRT (equipos de respuesta a incidentes de seguridad informática, establecidos por cada país) y a los clientes afectados.

Adicionalmente, la Comisión Europea publicará en agosto/septiembre 2024 actos de ejecución estableciendo los criterios específicos para incidentes significativos de cierto tipo de negocios (incluyendo proveedores de hosting y/o servicios gestionados). Estos criterios están actualmente en consulta pública.

Como clarificación, este requisito es adicional al requisito de notificar brechas de datos personales establecido en el RGPD.

Registro de entidades

La ENISA (Agencia de la Unión Europea para la Ciberseguridad) mantendrá un registro de negocios que presten ciertos servicios (incluyendo registro de dominios, hosting y servicios gestionados).

Los negocios afectados deberán inscribirse en dicho registro antes del 17 de enero de 2025.

Sometimiento a auditorías

Los negocios deberán colaborar con auditorías e inspecciones, que las autoridades competentes podrán realizar en cualquier momento a los negocios sujetos a NIS 2.

Base de datos sobre el registro de nombres de dominio

Los negocios que presten servicios de registro de nombres de dominio (incluso como agentes o revendedores) deberán mantener una base de datos con datos precisos y completos sobre los dominios.

También deberán hacer públicas sus políticas y procedimientos de verificación sobre dichos datos.

Consecuencias de incumplimientos de NIS 2

Multas administrativas

En caso de incumplir NIS2, podrían ser impuestas al negocio multas administrativas de importe variable en función del incumplimiento y tipo de negocio.

Estas multas tienen un importe máximo de hasta 10.000.000 EUR (o 2% de la facturación, lo que sea mayor).

Incumplimiento indirecto de RGPD

El RGPD impone obligación de tener medidas de seguridad adecuadas. Y NIS 2 incluye específicamente provisiones de que en casos de incumplimiento de NIS2 se deben abrir también investigaciones por posible incumplimiento del RGPD.

Bajo el RGPD, si se producen brechas de seguridad, también puede corresponder abonar indemnizaciones a los afectados.

Recursos útiles

¿Quiere contratar nuestros servicios? Solicitar información


Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Ingrese su nombre.
Ingrese su correo electrónico
Ingrese su comentario