Ciberseguridad con la Directiva NIS 2.0

4 Oct 23 | Servicios Cloud

El 10 de noviembre de 2022 quedó marcado como un momento trascendental en la esfera legislativa europea, cuando el Parlamento Europeo formalmente dio luz verde a la actualización de la Directiva sobre Ciberseguridad, conocida coloquialmente como «NIS 2.0» (Seguridad de la Red y la Información). Este cambio tiene un impacto considerable, especialmente en los proveedores de infraestructuras críticas y otros sectores relevantes. A continuación, exploraremos los antecedentes de esta legislación europea y resaltaremos los hitos clave asociados con su aprobación.

Evolución desde la NIS 1.0

La Directiva (UE) 2016/1148, denominada «Directiva NIS», se promulgó en julio de 2016 con el propósito de establecer medidas que garanticen un alto nivel común de seguridad en las redes y sistemas de información en la Unión Europea. Esta directiva tenía como objetivo mejorar el funcionamiento del mercado interior comunitario mediante estrategias nacionales, la creación de un Grupo de cooperación y el establecimiento de una red eficaz de equipos de respuesta a incidentes de seguridad informática (CSIRT). En el contexto español, esta directiva se transpuso mediante el Real Decreto-ley 12/2018, de 7 de septiembre, sobre seguridad de las redes y sistemas de información.

El año 2020: Una Nueva Estrategia de Ciberseguridad de la UE

Teniendo en cuenta los avances realizados en años anteriores, la Comisión de la UE y el Alto Representante de la Unión para Asuntos Exteriores y Política de Seguridad presentaron una nueva Estrategia de Ciberseguridad de la UE en Bruselas el 16 de diciembre de 2020. Esta estrategia tenía como objetivo fortalecer la resiliencia colectiva contra las amenazas cibernéticas y empoderar a ciudadanos y empresas para que se beneficiaran de servicios y herramientas digitales confiables. También buscaba mejorar el liderazgo de la UE en estándares internacionales de ciberseguridad.

Innovaciones de la NIS 2.0

En respuesta al cambiante panorama de riesgos de ciberseguridad debido a la mayor interconexión y digitalización, la NIS 2.0 introduce varias innovaciones clave:

  • Expansión del concepto de «entidades esenciales», abarcando nuevos sectores no considerados críticos anteriormente.
  • Introducción de «sectores importantes», que incluyen la gestión de residuos, el sector aeroespacial, proveedores y fabricantes de servicios digitales, el sector alimentario (desde la producción hasta la distribución), servicios postales y aquellos dedicados a la generación y distribución de sustancias y productos químicos.
  • Implementación de nuevos requisitos de seguridad, haciendo hincapié en la privacidad desde el diseño y por defecto, obligaciones de cifrado, requisitos de respuesta a incidentes, certificación de servicios, sistemas y/o productos bajo esquemas europeos de certificación, de acuerdo con la normativa europea.
  • Armonización normativa entre los Estados miembros, con la Agencia de la Unión Europea para la Ciberseguridad (ENISA) como responsable de difundir nuevas normas para prevenir, detectar y responder a ciberataques entre los países miembros y sus autoridades competentes.
  • Integración total con normativas sectoriales, como el Reglamento para la Resiliencia Operativa Digital del sector financiero (DORA) y la Directiva de Resiliencia de Entidades Críticas (CER).
  • Mayor exigencia de seguridad en proveedores y la cadena de suministro, permitiendo a las organizaciones exigir el cumplimiento de la normativa a sus proveedores considerados como operadores críticos.
  • Responsabilidad de la dirección de la empresa, con la actualización colocando la responsabilidad del cumplimiento de las medidas de ciberseguridad en los órganos directivos de la empresa.
  • Promoción de la colaboración público-privada, proponiendo la creación de Asociaciones Público-Privadas especializadas en ciberseguridad para desarrollar estrategias nacionales en cada uno de los Estados miembros.

Con la reciente aprobación por parte del Parlamento Europeo, todos los esfuerzos y acciones estratégicas detalladas en este texto europeo simbolizan y aseguran la cooperación y coordinación dentro de la Unión Europea frente a las amenazas cibernéticas cada vez más frecuentes.

El impacto de esta actualización legislativa en las empresas dependerá de cómo operen en el mercado y de si forman parte o no de la cadena de suministro de servicios esenciales.

COMPARTIR

LinkedIn
Share
Facebook
Volver a noticias