Directiva NIS2
La Directiva SRI, la primera ley de ciberseguridad de la UE, es el primer instrumento horizontal del mercado interior destinado a mejorar la resiliencia de las redes y los sistemas de información en la Unión frente a los riesgos de ciberseguridad. A pesar de sus notables logros, la Directiva SRI ha mostrado ciertas limitaciones. La transformación digital de la sociedad, intensificada por la crisis de la COVID-19, ha ampliado el panorama de amenazas. Han surgido nuevos desafíos que requieren respuestas adaptadas e innovadoras.
Para poder analizar el impacto e identificar las deficiencias de la Directiva SRI, la Comisión llevó a cabo una amplia consulta con las partes interesadas. La Comisión identificó las siguientes cuestiones principales:
- nivel insuficiente de ciberresiliencia de las empresas que operan en la UE
- resiliencia incoherente en todos los Estados miembros y sectores
- insuficiente comprensión común de las principales amenazas y desafíos entre los Estados miembros
- falta de respuesta conjunta a las crisis.
Como consecuencia de ello, y con el fin de responder a las crecientes amenazas derivadas de la digitalización y la interconexión, en diciembre de 2020 la Comisión propuso un conjunto revisado de normas preparadas para el futuro con el fin de reforzar el nivel de ciberresiliencia en la Unión, sobre el que los colegisladores alcanzaron un acuerdo político el 13 de mayo de 2022 y adoptaron formalmente la nueva Directiva a finales de noviembre de 2022.
Desde la crisis de la COVID-19, la economía europea se ha vuelto más dependiente que nunca de las soluciones digitales. Los sectores y servicios están cada vez más interconectados e interdependientes. Esto ha dado lugar a un panorama de amenazas de ciberseguridad creciente y en rápida evolución: cualquier perturbación, incluso una inicialmente limitada a una entidad o un sector, puede tener efectos en cascada de manera más amplia, lo que podría dar lugar a impactos negativos de largo alcance y duraderos en la prestación de servicios en todo el mercado interior.
La pandemia de COVID-19 ha demostrado la vulnerabilidad de nuestras sociedades cada vez más interdependientes ante riesgos inesperados. Intensificó los problemas que ya están surgiendo en la actual Directiva SRI y sirvió de catalizador para su revisión. Un cambio concreto en la Directiva SRI con vistas a esta crisis fue ampliar el ámbito de aplicación de la nueva Directiva, abarcando elementos más específicos en el sector sanitario, como las entidades que realizan actividades de investigación y desarrollo de medicamentos.
La Directiva SRI2 establece medidas jurídicas para impulsar el nivel global de ciberseguridad en la UE, con el fin de contribuir al funcionamiento general del mercado interior. Se basa en los tres pilares principales que fueron la base de la Directiva SRI1:
- Basándose en la estrategia SRI1 sobre la seguridad de las redes y los sistemas de información, a fin de lograr un alto nivel de preparación de los Estados miembros, la Directiva SRI2 exige a los Estados miembros que adopten una estrategia nacional de ciberseguridad. Los Estados miembros también están obligados a designar equipos nacionales de respuesta a incidentes de seguridad informática (CSIRT), responsables de la gestión de riesgos e incidentes, una autoridad nacional competente en materia de ciberseguridad y un único punto de contacto (SPOC). El SPOC debe ejercer una función de enlace para garantizar la cooperación transfronteriza entre las autoridades de los Estados miembros con las autoridades pertinentes de otros Estados miembros y, en su caso, con la Comisión y la ENISA, así como para garantizar la cooperación intersectorial con otras autoridades competentes de su Estado miembro.
- La Directiva SRI2 también continúa el marco NIS1 por el que se crea el Grupo de Cooperación SRI para apoyar y facilitar la cooperación estratégica y el intercambio de información entre los Estados miembros, y la Red CSIRT, que promueve una cooperación operativa rápida y eficaz entre los CSIRT nacionales.
- La Directiva SRI1 garantiza que se adopten medidas de ciberseguridad en siete sectores, que son vitales para nuestra economía y nuestra sociedad y que dependen en gran medida de las TIC, como la energía, el transporte, la banca, las infraestructuras del mercado financiero, el agua potable, la asistencia sanitaria y las infraestructuras digitales.
Las entidades públicas y privadas identificadas por los Estados miembros como operadores de servicios esenciales (OES) en estos sectores deben llevar a cabo una evaluación del riesgo de ciberseguridad y establecer medidas de seguridad adecuadas y proporcionadas. Están obligados a notificar los incidentes graves a las autoridades competentes. Además, los proveedores de servicios digitales clave (proveedores de servicios digitales o DSP), como los motores de búsqueda, los servicios de computación en nube y los mercados en línea, también deben cumplir los requisitos de seguridad y notificación establecidos en la Directiva. Al mismo tiempo, estos últimos están sujetos a un régimen regulador denominado «ligero», que implica que dichas entidades no estén sujetas a medidas de supervisión ex ante.
La Directiva SRI2 amplía significativamente el ámbito de aplicación de los sectores e introduce un umbral de tamaño para definir qué entidades entran en su ámbito de aplicación y estaría obligada a notificar incidentes significativos de ciberseguridad a las autoridades nacionales competentes.
La Directiva SRI2 tiene por objeto subsanar las deficiencias de las normas anteriores, adaptarla a las necesidades actuales y hacerla preparada para el futuro.
Con este fin, la Directiva amplía el ámbito de aplicación de las normas anteriores añadiendo nuevos sectores basados en su grado de digitalización e interconexión y en lo crucial que son para la economía y la sociedad, introduciendo una norma de umbral de tamaño claro, lo que significa que todas las empresas medianas y grandes de sectores seleccionados se incluirán en el ámbito de aplicación. Al mismo tiempo, deja a los Estados miembros cierta facultad discrecional para identificar a las entidades más pequeñas con un alto perfil de riesgo para la seguridad que también deberían estar cubiertas por las obligaciones de la nueva Directiva.
La nueva Directiva también elimina la distinción entre operadores de servicios esenciales y proveedores de servicios digitales. Las entidades se clasificarían en función de su importancia y se dividirían en dos categorías: entidades esenciales e importantes, que estarán sujetas a diferentes regímenes de supervisión.
Fortalece y racionaliza los requisitos de seguridad y presentación de informes para las empresas mediante la imposición de un enfoque de gestión de riesgos, que proporciona una lista mínima de elementos básicos de seguridad que deben aplicarse. La nueva Directiva introduce disposiciones más precisas sobre el proceso de notificación de incidentes, el contenido de los informes y los plazos.
Además, NIS2 aborda la seguridad de las cadenas de suministro y las relaciones con los proveedores al exigir a las empresas individuales que aborden los riesgos de ciberseguridad en las cadenas de suministro y las relaciones con los proveedores. A nivel europeo, la Directiva refuerza la ciberseguridad de la cadena de suministro para las tecnologías clave de la información y la comunicación. Los Estados miembros, en cooperación con la Comisión y ENISA, podrán llevar a cabo evaluaciones coordinadas de los riesgos para la seguridad de las cadenas de suministro críticas a escala de la Unión, basándose en el enfoque adoptado con éxito en el contexto de la Recomendación de la Comisión sobre ciberseguridad de las redes 5G.
La Directiva introduce medidas de supervisión más estrictas para las autoridades nacionales, requisitos de ejecución más estrictos y tiene por objeto armonizar los regímenes de sanciones en todos los Estados miembros.
También refuerza el papel del Grupo de Cooperación en la configuración de las decisiones políticas estratégicas y aumenta el intercambio de información y la cooperación entre las autoridades de los Estados miembros. También mejora la cooperación operativa dentro de la red CSIRT y establece la red europea de organizaciones de enlace en cibercrisis (EU-CyCLONe) para apoyar la gestión coordinada de incidentes y crisis de ciberseguridad a gran escala.
NIS2 también establece un marco básico con agentes clave responsables sobre la divulgación coordinada de vulnerabilidades para las vulnerabilidades recientemente descubiertas en toda la UE y crea una base de datos de vulnerabilidades de la UE para las vulnerabilidades conocidas públicamente en los productos y servicios de TIC, que será gestionada y mantenida por la Agencia de la UE para la Ciberseguridad (ENISA).
El NIS2 abarca entidades de los siguientes sectores:
Sectores de alta criticidad: energía (electricidad, calefacción y refrigeración urbanas, petróleo, gas e hidrógeno); transporte (aéreo, ferroviario, acuático y por carretera); banca; las infraestructuras de los mercados financieros; salud, incluida la fabricación de productos farmacéuticos, incluidas vacunas; agua potable; aguas residuales; infraestructura digital (puntos de intercambio de Internet; Proveedores de servicios DNS; Registros de nombres de dominio de primer nivel; proveedores de servicios de computación en nube; proveedores de servicios de centros de datos; redes de entrega de contenidos; proveedores de servicios de confianza; proveedores de redes públicas de comunicaciones electrónicas y servicios de comunicaciones electrónicas disponibles para el público; Gestión de servicios de TIC (proveedores de servicios gestionados y proveedores de servicios de seguridad gestionados), administración pública y espacio.
Otros sectores críticos: servicios postales y de mensajería; gestión de residuos; productos químicos; alimentos; fabricación de dispositivos médicos, computadoras y electrónica, maquinaria y equipo, vehículos de motor, remolques y semirremolques y otros equipos de transporte; proveedores digitales (mercados en línea, motores de búsqueda en línea y plataformas de servicios de redes sociales) y organizaciones de investigación.
La evaluación de las normas vigentes sobre los requisitos de información en materia de seguridad e incidentes ha puesto de manifiesto que, en algunos casos, los Estados miembros han aplicado estos requisitos de manera significativamente diferente. Esto ha creado una carga adicional para las empresas que operan en más de un Estado miembro.
Además, cuando se trata de requisitos de ciberseguridad, queremos asegurarnos de que todas las empresas aborden el conjunto básico de elementos necesarios en sus políticas de gestión de riesgos de ciberseguridad.
Por esta razón, NIS2 incluye una lista de 10 elementos clave que todas las empresas deben abordar o implementar como parte de las medidas que toman, incluida la gestión de incidentes, la seguridad de la cadena de suministro, la gestión y divulgación de vulnerabilidades, el uso de la criptografía y, en su caso, el cifrado.
Cuando se trata de la notificación de incidentes, debemos encontrar el equilibrio adecuado entre la necesidad de una notificación rápida para evitar la posible propagación de incidentes, y la necesidad de informar en profundidad para extraer valiosas lecciones aprendidas de incidentes individuales. La nueva Directiva prevé un enfoque de múltiples etapas para la notificación de incidentes. Las empresas afectadas disponen de 24 horas desde la primera vez que tienen conocimiento de un incidente para enviar una alerta temprana al CSIRT o a la autoridad nacional competente que les permita también solicitar asistencia (orientación o asesoramiento operativo sobre la aplicación de posibles medidas de mitigación) si así lo solicitan. La alerta temprana debe ir seguida de una notificación de incidente dentro de las 72 horas siguientes a la toma de conocimiento del incidente y un informe final a más tardar un mes después.
La nueva Directiva SRI sitúa la supervisión y el cumplimiento en el centro de las tareas de las autoridades competentes y establece un marco coherente para todas las actividades de supervisión y ejecución en todos los Estados miembros.
Con el fin de reforzar la supervisión que contribuye a garantizar el cumplimiento efectivo, el NIS2 prevé una lista mínima de medios de supervisión a través de los cuales las autoridades competentes pueden supervisar entidades esenciales e importantes. Estas incluyen auditorías periódicas y específicas, controles in situ y externos, solicitudes de información y acceso a documentos o pruebas.
Además, la nueva Directiva establece una diferenciación de los regímenes de supervisión entre entidades esenciales e importantes, con el fin de garantizar un equilibrio justo de las obligaciones tanto para las entidades como para las autoridades competentes.
Por loque se refiere a la ejecución, hasta la fecha ha habido una renuencia general en todos los Estados miembros a aplicar sanciones a las entidades que no hayan establecido medidas de seguridad o que no notifiquen incidentes. Esto puede tener consecuencias negativas para la ciberresiliencia de las entidades. Para que la aplicación sea efectiva, la nueva Directiva establece un marco coherente para las sanciones en toda la Unión. Por lo tanto, establece una lista mínima de sanciones administrativas por incumplimiento de las obligaciones de gestión de riesgos y notificación de ciberseguridad establecidas en la Directiva SRI2. Estas sanciones incluyen instrucciones vinculantes, orden de implementar las recomendaciones de una auditoría de seguridad, orden de ajustar las medidas de seguridad a los requisitos de NIS y multas administrativas. En relación con las multas administrativas, la nueva Directiva SRI distingue entre entidades esenciales e importantes. Por lo que se refiere a las entidades esenciales, exige a los Estados miembros que prevean un determinado nivel de multas administrativas, en particular un máximo de al menos 10 000 000 EUR o el 2 % del volumen de negocios anual mundial total del ejercicio anterior, si esta cifra es superior. Por lo que respecta a las entidades importantes, NIS2 exige a los Estados miembros que prevean una multa máxima de al menos 7 000 000 EUR, o al menos el 1,4 % del volumen de negocios anual mundial total del ejercicio anterior, si esta cifra es mayor.
Al ejercer sus facultades de ejecución, las autoridades competentes deben tener debidamente en cuenta las circunstancias particulares de cada caso, como la naturaleza, la gravedad y la duración de la infracción, el daño causado o las pérdidas sufridas, el carácter doloso o negligente de la infracción.
Con el fin de garantizar una verdadera rendición de cuentas por las medidas de ciberseguridad a nivel organizativo, NIS2 introduce disposiciones sobre la responsabilidad de las personas físicas que ocupan puestos de alta dirección en las entidades incluidas en el ámbito de aplicación de la nueva Directiva SRI.
Las nuevas normas mejoran la forma en que la UE previene, maneja y responde a incidentes y crisis de ciberseguridad a gran escala. Lo hacen introduciendo responsabilidades claras, una planificación adecuada y una mayor cooperación de la UE. NIS2 exige a los Estados miembros que designen autoridades nacionales responsables de la gestión de cibercrisis, introduzcan planes nacionales de respuesta a gran escala en materia de incidentes y crisis de ciberseguridad y establezcan la red europea de organizaciones de enlace en materia de ciberseguridad (EU-CYCLONe) para apoyar la gestión coordinada de incidentes y crisis de ciberseguridad a gran escala a nivel operativo. Esta red es un componente clave que contribuye al establecimiento del marco de gestión de crisis cibernéticas de la UE esbozado por la Comisión en 2017 con la Recomendación sobre la respuesta coordinada a incidentes y crisis a gran escala.
Por regla general, se considera que las entidades esenciales e importantes están bajo la jurisdicción del Estado miembro en el que están establecidas. Si la entidad está establecida en más de un Estado miembro, debe ser competencia de cada uno de estos Estados miembros. Las autoridades competentes de cada uno de estos Estados miembros deben cooperar, prestarse asistencia mutua y, en su caso, llevar a cabo acciones conjuntas de supervisión. Hay varias excepciones a esta regla:
- losproveedores de redes públicas de comunicaciones electrónicas o proveedores o servicios de comunicaciones electrónicas disponibles al público estarían bajo la jurisdicción del Estado miembro en el que prestan sus servicios.
- lasentidades de la administración pública estarían bajo la jurisdicción del Estado miembro que las creó.
- determinados tipos de entidades estarían bajo la jurisdicción del Estado miembro en el que tengan su establecimiento principal en la Unión. Estas entidades incluyen proveedores de servicios de sistemas de nombres de dominio, registros de nombres de dominio de primer nivel, entidades que prestan servicios de registro de nombres de dominio, proveedores de servicios de computación en nube, proveedores de servicios de centros de datos, proveedores de redes de entrega de contenidos, proveedores de servicios gestionados de servicios de seguridad, proveedores de servicios de seguridad gestionados, así como proveedores de mercados en línea, de motores de búsqueda en línea y de plataformas de redes sociales. Esto es para garantizar que dichas entidades no se enfrenten a una multitud de requisitos legales diferentes, ya que prestan servicios transfronterizos en una medida particularmente elevada. A efectos de una supervisión efectiva, los Estados miembros exigirán a estos tipos de entidades que notifiquen, entre otras cosas, si el establecimiento principal de la entidad es, así como sus otros establecimientos jurídicos en la Unión o, si no está establecido en la Unión, el lugar donde se designa al representante de la entidad. La ENISA estaría obligada a crear y mantener un registro con la información facilitada sobre esta base por los Estados miembros.
La cooperación de la UE se lleva adelante permitiendo a los Estados miembros actuar conjuntamente y hacer frente a los riesgos de seguridad emergentes que plantea la transformación digital en curso.
Más concretamente, los Estados miembros podrán supervisar conjuntamente la aplicación de las normas de la UE y ayudarse mutuamente en el caso de malas prácticas transfronterizas, mantener un diálogo más estructurado con el sector privado y coordinar la divulgación de las vulnerabilidades encontradas en los programas informáticos y los equipos vendidos en todo el mercado interior. También podrán trabajar de manera coordinada para evaluar los riesgos y amenazas de seguridad relacionados con las nuevas tecnologías, como se hace por primera vez con 5G.
Los Estadosmiembros recurrirán a la cooperación de la UE para mejorar las capacidades nacionales mediante intercambios de personal entre autoridades y revisiones inter pares. Los grupos existentes, en particular el Grupo de Cooperación que reúne a las autoridades nacionales de ciberseguridad y la Red de Equipos de Respuesta a Incidentes de Seguridad Informática (CSIRT, por sus siglas en inglés) contribuirán a avanzar en la cooperación, respectivamente, tanto a nivel estratégico como técnico.
La Directiva NIS2 está estrechamente vinculada con otras dos iniciativas, la Directiva sobre la resiliencia de las entidades críticas (RCE) y el Reglamento sobre la resiliencia operativa digital para el sector financiero (Ley de Resiliencia Operativa Digital, DORA).
El ámbito de aplicación de la SRI 2 y la Directiva sobre la resiliencia de las entidades críticas (Directiva RCE) se han adaptado en gran medida para garantizar que la resiliencia física y cibernética de las entidades críticas se aborde de manera global. Las entidades identificadas como entidades críticas en virtud de la Directiva RCE también estarán sujetas a las obligaciones de ciberseguridad de la Directiva SRI2. Además, las autoridades nacionales competentes en virtud de las Directivas RCE y SRI2 deben cooperar e intercambiar periódicamente información pertinente, como los riesgos, las ciberamenazas y los incidentes, así como los riesgos, amenazas e incidentes no cibernéticos. El Grupo de Cooperación en el marco de NIS2 tendrá que reunirse periódicamente y al menos una vez al año con el Grupo de Resiliencia de las Entidades Críticas establecido en virtud de la Directiva RCE.
Por lo que se refiere al sector financiero, si bien la nueva Directiva SRI incluye entidades de crédito, gestores de centros de negociación y contrapartes centrales dentro de su ámbito de aplicación, el DORA se aplicará a estas entidades en lo que respecta a las obligaciones de gestión de riesgos y de información en materia de ciberseguridad. Al mismo tiempo, es importante mantener una relación sólida para el intercambio de información entre el sector financiero y los demás sectores cubiertos por NIS 2. A tal fin, en el marco del DORA, las Autoridades Europeas de Supervisión (AES) del sector financiero y las autoridades nacionales competentes del sector financiero podrían participar en los debates del Grupo de Cooperación SRI. Además, las autoridades competentes del DORA podrían consultar y compartir la información pertinente con la ventanilla única (SPOC) y los CSIRT establecidos en virtud de NIS2. Las autoridades competentes, los SPOC o los CSIRT establecidos en virtud de la NIS2 también recibirían detalles de los incidentes importantes relacionados con las TIC de las autoridades competentes en el marco del DORA. Además, los Estados miembros deben seguir incluyendo al sector financiero en sus estrategias de ciberseguridad y los CSIRT nacionales pueden abarcar el sector financiero en sus actividades.
Los Estadosmiembros tendrán que transponer la Directiva a más tardar el 17 de octubre de 2024 (21 meses después de la entrada en vigor de la SRI2). A continuación, la Comisión debe revisar periódicamente el funcionamiento de la Directiva e informar al respecto por primera vez antes del 17 de octubre de 2027 al Parlamento y al Consejo.