La perspectiva de Cyber Academy
NIS 2 es la directiva europea que responsabiliza directamente a los consejos de administración en materia de ciberseguridad. Si su organización tiene un tamaño mediano o superior y opera en alguno de los 18 sectores enumerados, está dentro del ámbito de aplicación. El reloj empieza a correr desde el primer incidente significativo: alerta temprana en 24 horas, notificación en 72 horas, informe completo al mes. Las sanciones son contundentes (10 millones de euros o el 2% del volumen de negocio mundial). El estado de transposición varía según el país.
Lo que NIS 2 cambia realmente
NIS 2 es la segunda iteración de la Directiva europea sobre seguridad de las redes y de la información, y amplía considerablemente el alcance respecto al régimen NIS original. Donde la primera directiva se apoyaba en las autoridades nacionales para identificar a los operadores de servicios esenciales caso por caso, NIS 2 fija criterios de autoidentificación: si opera en uno de los sectores listados y supera el umbral de tamaño, está dentro del ámbito de aplicación y se espera que lo sepa. La directiva clasifica a las organizaciones afectadas en dos niveles, entidades "esenciales" e "importantes", lo que afecta principalmente a cómo se aplican la supervisión y la ejecución más que a las obligaciones de base en sí.
El cambio principal es la rendición de cuentas. NIS 2 hace que los órganos de dirección sean responsables de aprobar y supervisar las medidas de gestión de riesgos de ciberseguridad, y espera que sigan una formación para poder ejercer realmente esa supervisión. La seguridad deja de ser algo que el departamento de TI gestiona discretamente y se convierte en un tema de gobernanza que el consejo debe aprobar. Esa es la razón práctica por la que la directiva se resume tan a menudo como "poner a los consejos en el punto de mira".
Ámbito de aplicación, sectores y la prueba de tamaño
El ámbito de aplicación se basa en dos preguntas: ¿opera en un sector listado y es lo bastante grande? La directiva cubre sectores divididos entre las categorías de "alta criticidad" y "otros sectores críticos", que abarcan energía, transporte, banca, salud, agua, infraestructura digital, administración pública, servicios postales, fabricación de determinados productos, alimentación y más. La prueba de tamaño suele abarcar a las organizaciones medianas y grandes, y a veces incluye a entidades más pequeñas cuando su papel es crítico con independencia de su plantilla. Como los Estados miembros pueden designar entidades adicionales, el único enfoque seguro es cartografiar sus propias actividades frente a los anexos sectoriales en lugar de suponer que es demasiado pequeño para importar.
El reloj de la notificación de incidentes
Lo que los profesionales sienten de forma más directa es el calendario de notificación, que se activa ante un incidente significativo. Se desarrolla por fases: una alerta temprana en un plazo de 24 horas, una notificación más completa en un plazo de 72 horas y un informe final al cabo de un mes, siendo el destinatario la autoridad competente o el CSIRT. El objetivo del modelo escalonado es sacar a la luz los incidentes con rapidez sin imponer una imagen forense completa el primer día. Para cumplirlo necesita una detección que señale la gravedad con rapidez, un responsable de decisión que pueda clasificar un incidente y plantillas de notificación predefinidas para que el reloj no le pille redactando desde cero.
El calendario se apoya en obligaciones de gestión de riesgos que se leen como un socle conocido: tratamiento de incidentes, continuidad de negocio y copias de seguridad, seguridad de la cadena de suministro, desarrollo y mantenimiento seguros, tratamiento de vulnerabilidades, uso de la criptografía, control de acceso y autenticación multifactor, y políticas para comprobar lo bien que funciona todo ello. Nada de esto es exótico. Una organización que opera un SGSI maduro, por ejemplo alineado con ISO 27001, ya cubre la mayor parte del terreno; el trabajo consiste en correlacionar los controles existentes con las expectativas de NIS 2 y cerrar las brechas de gobernanza y notificación.
Lo que significa en la práctica estar dentro del ámbito de aplicación
Si concluye que está dentro del ámbito de aplicación, el programa práctico es bastante constante: registrarse ante la autoridad nacional competente cuando proceda, formalizar la supervisión del riesgo cibernético a nivel del consejo, documentar sus medidas de gestión de riesgos frente a los epígrafes de la directiva, poner en marcha un proceso de clasificación y notificación de incidentes capaz de cumplir las ventanas de 24/72 horas y un mes, y extender la diligencia debida a su cadena de suministro porque los proveedores forman explícitamente parte del panorama de riesgos.
La ejecución tiene dientes, con multas que alcanzan decenas de millones de euros o un porcentaje de la facturación mundial, además de la posibilidad de responsabilidad de la dirección, que es exactamente por lo que la directiva empuja la responsabilidad hacia arriba.
Frequently asked questions
01¿Cómo sé si mi organización está dentro del ámbito de aplicación de NIS 2?
Compruebe dos cosas: si opera en uno de los sectores listados por la directiva y si cumple el umbral de tamaño, que generalmente abarca a las organizaciones medianas y grandes. Algunas entidades más pequeñas quedan incluidas cuando su papel es crítico, y los Estados miembros pueden designar otras, así que cartografíe sus actividades frente a los anexos sectoriales en lugar de hacer suposiciones.
02¿Cuáles son los plazos de notificación de incidentes de NIS 2?
Para un incidente significativo, el reloj se desarrolla por fases: una alerta temprana en un plazo de 24 horas, una notificación en un plazo de 72 horas y un informe final en un plazo de un mes. El destinatario es la autoridad nacional competente o el CSIRT.
03¿Cuál es la diferencia entre NIS 1 y NIS 2?
NIS 2 amplía el alcance a más sectores y emplea criterios de tamaño autoidentificativos en lugar de depender principalmente de las autoridades nacionales para designar a los operadores. También refuerza la notificación de incidentes, la seguridad de la cadena de suministro y, sobre todo, hace que los órganos de dirección sean directamente responsables de las medidas de ciberseguridad.
04¿Cómo se relaciona NIS 2 con ISO 27001?
Se solapan en gran medida en el fondo. Un SGSI alineado con ISO 27001 ya aborda la mayoría de las medidas de gestión de riesgos de NIS 2, como el tratamiento de incidentes, la continuidad de negocio, el control de acceso y la criptografía. ISO 27001 es una norma certificable que se adopta de forma voluntaria, mientras que NIS 2 es una obligación legal; la tarea práctica consiste en correlacionar sus controles existentes con la directiva y rellenar las brechas de notificación y gobernanza.
05¿Por qué NIS 2 habla tanto de la responsabilidad de la dirección?
Porque hace que los órganos de dirección sean responsables de aprobar y supervisar las medidas de gestión de riesgos de ciberseguridad, y espera que estén formados para ello. La seguridad se convierte en un tema de gobernanza a nivel del consejo, y la responsabilidad puede recaer en la dirección, no solo en la función de TI.