Un marco jurídico nuevo en Europa para poner coto a amenazas más complejas: NIS2

Un entorno económico y social más digitalizado, junto con un escenario de amenazas muy diversas y complejas en constante evolución, exige la modernización de las regulaciones en materia de ciberseguridad. Así lo ha entendido la UE, que ha evolucionado su directiva de 2016 sobre Seguridad de las Redes y de la Información, a NIS2, un nuevo marco jurídico que ya conocíamos pero que debe estar transpuesto a los ordenamientos jurídicos de todos los Estados miembros de la Unión el próximo 17 de octubre.

Esta normativa es la más ambiciosa hasta la fecha de las diseñadas por los reguladores europeos para establecer un nivel común y global de seguridad en todo el territorio y que, además, deberá convivir y complementar otras normas de la Estrategia Europea de Ciberseguridad, como el Reglamento DORA o la futura normativa de Ciberresiliencia.

El nuevo texto normativo amplía el número de empresas obligadas a cumplir su articulado, desde las que operan en sectores de alta criticidad (Energía, Banca, Finanzas, Sanidad, Transporte, Infraestructura Digital, Aguas Residuales, Aguas Potables, Administración Pública, Gestión de Servicios TIC y Espacio) a las que lo hacen en otros sectores críticos como Investigación, Química, Servicios Postales, Alimentación, Proveedores Digitales (mercados en línea, motores de búsqueda en línea y plataformas de servicios de redes sociales), Fabricación y Gestión de Residuos.

Con el objetivo de alcanzar un alto nivel de ciberresiliencia y mejorar la capacidad de respuesta ante incidencias, todas ellas tendrán que implantar de forma proactiva, a la mayor brevedad, una serie de medidas en materia de gestión, gobernanza y control del riesgo, procesos más rápidos de notificación de incidentes, protección de la cadena de suministro, programas de concienciación y formación, etc. Y ello se complementará con una mayor coordinación entre todos los países a la hora de responder y cooperar estratégicamente en divulgación de vulnerabilidades, así como en el intercambio de información y conocimientos entre organizaciones, el sector de la ciberseguridad y los reguladores.

NIS2 abre también una oportunidad para implementar una cultura de seguridad en sectores que son vitales para nuestra economía y que dependen en gran medida de las TIC. Así, no solo recomienda formar a los empleados en este ámbito, sino que por primera vez implica a los órganos dirección de las organizaciones en la aprobación de las medidas de gestión de los riesgos de ciberseguridad, a supervisar su aplicación e incluso pueden ser responsables de las infracciones. Eso exigirá aprendizajes y será una forma de conseguir una integración de dicha cultura en la organización en su conjunto.

Pero, además de la formación y su componente cultural, todas las entidades a las que aplica esta ley deberán, primero, entender los requisitos de la norma, las obligaciones que supone para compañía, su estado actual y las medidas implementar y, ligado a ello, será necesario identificar y evaluar los riesgos, y establecer políticas y procedimientos que permitan mejorar la postura de ciberseguridad. Esas fases son previas a la implementación de medidas como la autenticación multifactor y controles de acceso a los sistemas y aplicaciones, sistemas de detección de amenazas, bloqueo y minimización del impacto de ciberataques y, en caso de no disponer de ellos, habilitar sistemas de continuidad de negocio.

Importante también será la revisión del proceso de notificación de incidentes. Estos, cuando son importantes tendrán que notificarse en 24 horas y los menos relevantes en 72. Por tanto, deberán definirse planes efectivos de respuesta y procedimientos claros de notificación.

La adaptación a NIS2 será, sin duda, uno los asuntos de alta prioridad de los departamentos de TI, de ciberseguridad, gestión de riesgos y legal de muchas compañías en los próximos meses. Una norma exigente adoptar medidas técnicas, operativas y organizativas, pero urgente y necesaria.