A finales de 2022, se publicó en el Diario Oficial de la Unión Europea (UE) el nuevo reglamento sobre Seguridad de Redes e Información (NIS2). NIS2 es el sucesor de NIS1, publicado originalmente en 2016, y trae mejoras significativas en las leyes y regulaciones de ciberseguridad en toda la UE.
NIS2 promulga regulaciones más estrictas en materia de ciberseguridad, similares al GDPR, con énfasis en informes y notificaciones , y estipula una aplicación más rigurosa y sanciones más altas por infringir sus disposiciones.
Actualmente, NIS2 es una Directiva Europea que entró en vigor el 16 de enero de 2023 y debe ser adoptada en la legislación nacional de todos los Estados miembros antes del 17 de octubre de 2024, mientras que NIS1 será oficialmente derogada el 18 de octubre de 2024.
Entendiendode NIS2
La Directiva NIS (Directiva (UE) 2016/1148), también conocida como NIS1, se centró en salvaguardar la infraestructura crítica de ciberseguridad de la UE. NIS2 se basa en el marco legal anterior e introduce un cambio de enfoque en la gestión común de riesgos cibernéticos, el informe de incidentes y las obligaciones de intercambio de información dentro de la UE.
La introducción de la Directiva NIS2 tiene como objetivo abordar las limitaciones de su predecesora. Esta nueva Directiva establece diversas medidas con el objetivo de lograr un alto nivel de ciberseguridad en toda la UE, con el fin de mejorar el funcionamiento del mercado interno. Estas medidas incluyen obligaciones para los Estados miembros que implican:
- Adoptar estrategias nacionales de ciberseguridad.
- Establecer autoridades competentes y autoridades de gestión de crisis cibernéticas.
- Designar puntos de contacto únicos en ciberseguridad.
- Crear Equipos de Respuesta frente a Incidencias de Seguridad Informática (CSIRT, por sus siglas en inglés).
- Cumplir con las nuevas regulaciones sobre intercambio de información de ciberseguridad.
NIS2 también establece medidas de gestión de riesgos de ciberseguridad y obligaciones de información para los sectores considerados como esenciales e importantes.
NIS1 vs. NIS2
NIS1 tenía como objetivo mejorar las capacidades de ciberseguridad en toda la Unión Europea, abordando las amenazas a las redes y sistemas de información que son esenciales para los sectores clave y garantizando la prestación ininterrumpida de dichos servicios frente a incidentes. La Directiva NIS1 se redactó con el objetivo final de contribuir a la seguridad general de la UE y promover el funcionamiento efectivo de su economía y sociedad.
Después de la implementación de NIS1 en mayo de 2018, la Comisión Europea realizó una evaluación y revisión de la directiva debido a los desafíos enfrentados por varios Estados miembros durante su implementación. La evaluación de la Comisión analizó la relevancia, el valor agregado de la UE, la coherencia, la efectividad y la eficiencia de la Directiva NIS. La evaluación identificó que el alcance de NIS1 era demasiado limitado en términos de los sectores cubiertos, principalmente debido al aumento de la digitalización e interconexión observado en los últimos años. La directiva original ya no abarcaba todos los sectores digitalizados que proporcionan servicios clave para la economía y la sociedad en su conjunto. Además, la falta de una comprensión común de las amenazas principales resultó en una resiliencia inconsistente en toda la Unión Europea.
En respuesta a la implementación inconsistente y fragmentada de NIS1, la Comisión Europea ha introducido la Directiva NIS2, que trae cambios significativos y de gran alcance, específicamente dirigidos a entidades en sectores críticos.
Las principales áreas de interés de NIS2
NIS2 tiene como objetivo abordar las deficiencias de su predecesora e introduce cambios significativos en seis niveles principales.
1. Extensióndel alcance
La Directiva NIS2 introduce un enfoque revisado para determinar las entidades reguladas mediante la implementación de una regla de límite de tamaño. Esta regla se basa en la Recomendación de la Comisión del 6 de mayo de 2003, que define las micro, pequeñas y medianas empresas. Según la regla del límite de tamaño, todas las empresas medianas y grandes que operan o proporcionan servicios en los sectores cubiertos por NIS2 entran en su ámbito. Sin embargo, las pequeñas empresas y microempresas solo se incluyen en NIS2 en circunstancias excepcionales. Por ejemplo, pueden ser incluidas si son el único proveedor de un servicio esencial para mantener actividades críticas para la sociedad o la economía en un Estado miembro o si ofrecen servicios de registro de nombres de dominio.
Además, NIS2 amplía la cobertura de NIS1 para abarcar nuevos sectores y entidades categorizadas como entidades esenciales e importantes. Como resultado, NIS2 elimina la distinción entre Operadores de Servicios Esenciales (OSE) y Proveedores de Servicios Digitales (PSD) presentes en la directiva anterior. En su lugar, NIS2 establece normas distintas para entidades esenciales y entidades importantes.
Nota: NIS2 excluye a las entidades que se dedican a actividades relacionadas con la defensa, la seguridad nacional, la seguridad pública y la aplicación de la ley, así como a los poderes judiciales, parlamentos y bancos centrales.
2. Responsabilidad de los órganos de gestión
Según las disposiciones de NIS2, los Estados miembros están ahora explícitamente obligados a garantizar que sus órganos de gestión respalden las medidas de gestión de riesgos de ciberseguridad, supervisen su implementación y, potencialmente, enfrenten responsabilidad por cualquier infracción. También se requiere que los Estados miembros participen en programas especializados de formación en ciberseguridad.
Las entidades incluidas en el ámbito de NIS2 tienen la obligación de realizar evaluaciones de seguridad de su cadena de suministro. Estas entidades también deben adoptar “medidas técnicas y organizativas adecuadas y proporcionadas” para gestionar eficazmente los riesgos de seguridad asociados con las redes y sistemas de información que utilizan al prestar sus servicios.
3. Informes
NIS2 establece disposiciones más detalladas que delinean el procedimiento y los plazos para el
informar de incidentes, incluyendolos incidentes significativos, a los CSIRTs. También introduce medidas de supervisión mejoradaspara las autoridades nacionales e impone requisitos de aplicación más estrictos.
Específicamente, NIS2 estipula un enfoque escalonado para las obligaciones de información. La notificación inicial, conocida como alertatemprana, debe realizarse dentro de las 24 horas posteriores a la toma de conocimiento de un incidente significativo. Después de la advertencia temprana, se debe presentar una notificación de incidente dentro de las 72 horas, proporcionando más detalles sobre el incidente. Finalmente, se debe presentar un informe final completo a más tardar un mes después de la notificación del incidente. Estas medidas tienen como objetivo garantizar el reporte oportuno y efectivo de los incidentes a las autoridades pertinentes.
4. Énfasis en la ciberseguridad proactiva
NIS2 destaca que adoptar un enfoque proactivo de la ciberseguridad es fundamental y establece que compartir y comprender de manera eficiente y fluida la información sobre amenazas, alertas de ciberactividady acciones de respuesta es de suma importancia para fomentar un enfoque unificado en la prevención, detección, mitigación y frustración efectivas de los ataques a las redes y sistemas de información.
Como se menciona en el párrafo 57, “A diferencia de las respuestas reactivas, la ciberprotección activa es la prevención, la detección, la supervisión, el análisis y la mitigación de los fallos de seguridad de la red de forma activa […].”
5. La importancia del código abierto
Con el código abierto siendo ahora parte integral del 97% de las aplicaciones en todo el mundo, sería imposible para el Consejo Europeo ignorar la importancia del código abierto en la ciberseguridad. NIS2 destaca que el código abierto facilita un proceso de verificación más transparente para las herramientas de ciberseguridad y permite un enfoque impulsado por la comunidad para identificar vulnerabilidades. Al abrazar los estándares abiertos, se puede mejorar la interoperabilidad entre las herramientas de seguridad, beneficiando así la seguridad general de los actores industriales.
El párrafo 52 establece: “Las políticas que promueven la introducción y el uso sostenible de herramientas de ciberseguridad de código abierto revisten especial importancia para las pequeñas y medianas empresas que se enfrentan a costes significativos de implementación, costes que pueden reducirse al mínimo si también se reduce la necesidad de aplicaciones o herramientas específicas.”.
6. Sanciones por incumplimiento
De acuerdo con la Directiva NIS2, los Estados miembros tienen el poder de imponer sanciones por incumplimiento, similares a las multas establecidas en el Reglamento General de Protección de Datos (GDPR). La magnitud de estas multas varía según si una entidad se clasifica como esencial o importante. Las sanciones por incumplimiento para las entidades esenciales pueden alcanzar un máximo de 10 millones de euros o un máximo del 2% del volumen de negocios total anual global de la empresa del ejercicio anterior. Por otro lado, las sanciones por incumplimiento para las entidades importantes pueden alcanzar un máximo de 7 millones de euros o un máximo del 1,4% del volumen de negocios total anual global de la empresa del ejercicio anterior.
Sectores impactados por NIS2
El alcance de NIS2 abarca tanto entidades públicas como privadas que cumplen con los criterios de ser clasificadas como empresas medianas, es decir, emplean a menos de 250 personas y tienen un volumen de negocios anual que no supera los 50 millones de euros. Es importante tener en cuenta que NIS2 se extiende a las entidades que prestan sus servicios o realizan sus operaciones dentro de la UE y superan los umbrales definidos para las empresas medianas.
Como se mencionó anteriormente, NIS2 categoriza los sectores como esenciales e importantes.
Puede encontrar la lista completa de sectores y entidades esenciales e importantes en el Anexo 1 de la Directiva.
Cómo prepararse para NIS2
No podemos enfatizar lo suficiente la necesidad urgente de anticipar ajustes presupuestarios obligatorios para cumplir con la Directiva NIS2. “No tenemos presupuesto para invertir en ciberseguridad” ya no es un argumento válido a la luz de las estrictas consecuencias legales.
El primer paso para prepararse para la Directiva NIS2 es debatir con los equipos técnicos responsables de la seguridad y las operaciones.
- Identificar qué disposiciones se aplican a su organización y en qué medida.
- Realizar una auditoría de sus sistemas de seguridad e identificar los cambios que deben realizarse.
- Y ajustar su presupuesto de ciberseguridad en consecuencia.
Invierta en herramientas diseñadas para obtener inteligencia de amenazas accionable y ciberseguridad proactiva
Ajustar los presupuestos de ciberseguridad es una cosa, pero tomar decisiones inteligentes e informadas sobre en qué herramientas invertir es una historia completamente diferente, especialmente con la urgencia que NIS2 impone no solo en la ciberseguridad, sino en la ciberseguridad proactiva.
CrowdSec es una empresa de ciberseguridad moderna y colaborativa comprometida con la protección proactiva de sus activos digitales y es la herramienta de prevención definitiva para proteger sus cargas de trabajo expuestas. A diferencia de las herramientas de post-intrusión como SIEM, CrowdSec proporciona una respuesta proactiva antes de que ocurra una intrusión.
- Gestione los riesgos para la seguridad de las redes y sistemas de información.
CrowdSec le ayuda a mantener su postura de seguridad a lo largo del tiempo y a adaptarse constantemente a las amenazas emergentes.
- Notificaciones oportunas a sus CSIRT y clientes sobre incidentes significativos.
Reciba alertas en tiempo real sobre incidentes de seguridad y violaciones con informes detallados que le ayudarán a comunicar cualquier incidente.
- Prevenga, detecte, monitoree, analice y mitigue activamente violaciones de seguridad en la red.
Los conocimientos dinámicos y globales de la CTI (Inteligencia de Amenazas Cibernéticas) de CrowdSec permiten la detección y neutralización rápidas de amenazas. Con su mecanismo proactivo para prevenir ataques y adaptarse en tiempo real a las amenazas emergentes, las empresas obtienen una ventaja en ciberseguridad. Con la interfaz API, los usuarios tienen acceso a un conjunto de información detallada, que incluye Sistemas Autónomos, país de origen, agresividad y tipos de ataques realizados por una IP.
- Aproveche las tecnologías de código abierto para reducir sus costes.
El CrowdSec Security Engine es y siempre será de código abierto y gratuito, lo que le brinda una solución fácil e inmediata para identificar y bloquear comportamientos maliciosos. Codificado en Golang, utiliza recursos marginales y se puede implementar en cualquier entorno: contenedores, en local, en la nube o híbridos. El CrowdSec Security Engine le proporciona un centro de numerosos componentes de análisis, detección y remediación para integrar rápidamente la solución con los diversos elementos de la infraestructura de seguridad. Y si su infraestructura es demasiado grande para una solución de código abierto, con CrowdSec siempre puede pagar a medida que crece para acceder a más recursos según sus necesidades.
Cronologíade NIS2 y por qué debe actuar ahora
La fecha de entrada en vigor de la Directiva NIS2 fue el 16 de enero de 2023, y todos los Estados miembros deben adoptar y divulgar públicamente las medidas necesarias para garantizar el cumplimiento de esta directiva antes del 17 de octubre de 2024. A partir del 18 de octubre de 2024, estas medidas deben aplicarse activamente. Por lo tanto, las entidades y sectores comprendidos en el ámbito de NIS2 deben tomar nota rápidamente de sus disposiciones y procurar implementarlas lo antes posible.
No cumplir con NIS2 no es una opción, y los presupuestos de ciberseguridad de las entidades afectadas para 2024 deberán ajustarse. Dado que la mayoría de las organizaciones deberán tomar decisiones presupuestarias durante el tercer y cuarto trimestre de 2023, ahora es el momento perfecto para concebir de manera proactiva un plan para ajustar los sistemas, métodos y presupuestos de seguridad existentes para cumplir con NIS2.