Ley POPI: alcance, propósito y cómo cumplirla
Conozca el alcance y el propósito de la Ley POPI y cómo cumplirla para proteger los datos personales y satisfacer la normativa de privacidad de...
NIS son las siglas de «Network and Information Security», una directiva de la UE que exige a los Estados miembros identificar a las entidades que prestan servicios esenciales e introduce nuevas medidas de ciberseguridad para esas entidades.
En menos de 5 años desde su publicación, la NIS original se demostró insuficiente. La NIS2 es la versión revisada de la NIS, adoptada por la UE el 28 de noviembre de 2022. Hay ahora un periodo de 2 años durante el cual todos los Estados miembros deben transponer las medidas de la directiva NIS2 a su legislación nacional.
¿Qué es NIS2?
La NIS se introdujo en 2016 como la primera directiva de ciberseguridad de la Unión Europea. Su objetivo era proteger a las organizaciones y a la ciudadanía europea asegurando que todos los sectores «esenciales» de todos los Estados miembros tomaran las medidas necesarias para prevenir ciberataques.
El problema con la NIS era que la interpretación que cada Estado miembro hacía de los términos relativamente vagos de la directiva derivó en distintos niveles de aplicación en la UE. Lo que se consideraba esencial en un país no se reconocía como tal en otro, y así sucesivamente.
Con la experiencia del primer intento de NIS, los representantes de la UE volvieron a la mesa de trabajo y publicaron una versión mejorada a finales de noviembre de 2022: la NIS2.
Esta desmitifica las intenciones de la directiva y deja mucho menos margen a la interpretación individual: es detallada en su alcance y mucho más clara en sus requisitos, dejando muy poco espacio a inconsistencias entre países. Y, para ser aún más rigurosa, también prescribe sanciones y multas.
Los Estados miembros de la UE tienen hasta septiembre de 2024 para transponer los requisitos de NIS2 a su legislación nacional.
¿Cuál es el propósito de NIS2?
El objetivo de NIS2 es crear un nivel estándar de protección en toda la UE mediante la implementación de requisitos y medidas de ciberseguridad en todos los Estados miembros.
Enumera los sectores afectados, identifica los requisitos de seguridad, unifica las obligaciones de notificación e introduce medidas de aplicación y sanciones.
Todo esto está pensado para proteger las infraestructuras críticas y a la ciudadanía de la UE frente a los ciberataques.
¿Cuál es el alcance de NIS2?
Un área que NIS2 ha mejorado de forma significativa respecto a la NIS es el alcance. Ahora es mucho más específica al enumerar qué sectores se ven afectados por NIS2: ya no hay margen creativo por parte de los Estados miembros.
Cabe destacar que los proveedores de infraestructura digital o de servicios también quedan incluidos en el alcance de NIS2. Esto significa que incluso organizaciones que no residan físicamente en la UE pueden verse afectadas si prestan servicios esenciales o importantes en la UE: servicios cloud, servicios DNS, redes sociales, motores de búsqueda, etc., deberán tomar nota.
Entidades esenciales vs. importantes en NIS2
Las entidades sujetas al marco NIS2 se dividen en dos categorías: «esenciales» e «importantes».
La principal diferencia es que una interrupción de los servicios en el grupo esencial tendría consecuencias graves para la economía o la sociedad del país en su conjunto. Sectores como la sanidad, la energía o el transporte se incluyen en esta categoría.
Ambos tipos de entidades deben cumplir con las mismas medidas de seguridad. Sin embargo, las clasificadas como «esenciales» están bajo supervisión proactiva. Las entidades «importantes» solo serán supervisadas tras la notificación de un incidente de incumplimiento.
¿Qué cambios traerá NIS2?
Además de proporcionar un alcance más amplio y detallado (ver arriba), NIS2 introducirá los siguientes cambios/actualizaciones (en comparación con la NIS original):
Requisitos de seguridad de NIS2
NIS2 establece un marco de requisitos de seguridad reforzados. Se ha eliminado la opción de adaptar el cumplimiento a estos requisitos: demasiada flexibilidad bajo la NIS original generó vulnerabilidades. Eso desaparece con NIS2. La directiva especifica claramente las reglas que todos deben seguir.
Exige que se aborden estas áreas:
- evaluación y gestión de riesgos
- formación en ciberseguridad
- políticas de seguridad
- gestión de crisis
- seguridad de la cadena de suministro
- gestión y notificación de vulnerabilidades e incidentes
- cifrado de datos
Aplicación reforzada
La nueva directiva incluye también una lista más elaborada de medidas relativas a la aplicación de NIS2. Se han prescrito multas y sanciones, con instrucciones vinculantes sobre cuándo y cómo aplicarlas.
De nuevo, no debería haber zonas grises que dejen abierta la interpretación.
Notificación de incidentes más estricta
La notificación de incidentes pasa a ser obligatoria. NIS2 establece procesos exactos, incluido el contenido y el calendario de estos informes.
Bajo NIS2 se han eliminado todas las posibilidades de exclusión.
Todos los incidentes de brechas de ciberseguridad deberán notificarse, hayan tenido o no implicaciones para las operaciones de la entidad. Esto permitirá a las autoridades supervisar y responder mejor a las posibles amenazas.
Bajo el nuevo plan de respuesta a incidentes, la directiva establece un enfoque en dos fases. Debe presentarse un informe inicial en un plazo de 24 horas desde la incidencia de ciberseguridad y se esperará un informe de seguimiento más detallado en el plazo de un mes.
Cada Estado miembro deberá designar también un Computer Security Incident Response Team nacional.
Mejor cooperación
La directiva NIS2 reconoce la importancia de la coordinación y la comunicación entre los Estados miembros de la UE: el objetivo, al fin y al cabo, es proteger a la Unión Europea de las brechas con relativa unidad.
No solo cada Estado miembro contará con una autoridad nacional dedicada a la ciberseguridad, sino que también se establecerá la European Cyber Crisis Liaison Organisation Network para gestionar incidentes a escala de la UE.
Esto creará un sistema de cooperación entre todos los Estados miembros de la UE y la protección de los datos será un esfuerzo común.
¿Cómo puede Safetica ayudarle a proteger sus datos?
Auditoría de seguridad
Con Safetica, puede ejecutar rápidamente una auditoría de datos e identificar qué tipos de datos se utilizan en su organización.
Visión general de los datos sensibles
Safetica proporciona una visión general de los flujos de información y del almacenamiento de datos sensibles, ayuda a supervisar las operaciones de los usuarios y le facilita informes sobre cómo se procesan los datos.
Clasificación de datos y políticas de seguridad
Con Safetica, puede clasificar los datos fácilmente para aplicar políticas DLP y forzar comportamientos deseados cuando los usuarios interactúen con información sensible.
Notificación de fugas de datos
En caso de un incidente de seguridad, el sistema de alertas por correo en tiempo real de Safetica notifica al personal adecuado. Proporciona detalles para que pueda tomar acciones de seguimiento y minimizar el impacto de la fuga de datos.
Cumplimiento normativo
Con Safetica y sus políticas DLP, puede asegurarse de cumplir no solo con NIS2, sino también con otras normativas como GDPR, ISO 27001, PCI DSS, CMMC y más.
Vea Safetica en acción. Complete este sencillo formulario de contacto hoy mismo.