Buscar
Cerrar este cuadro de búsqueda.
Flag
Logo, Leisure Activities, Person
Flag

Mejorar la resiliencia y la ciberseguridad: la UE refuerza sus defensas con las directivas NIS 2 y CER

Mejorar la resiliencia y la ciberseguridad: la UE refuerza sus defensas con las directivas NIS 2 y CER

Las nuevas directivas europeas NIS 2 y CER, publicadas el 17 de enero de 2023, tienen como objetivo lograr un alto nivel común de ciberseguridad en toda la UE y garantizar la continuidad de los servicios esenciales. El tiempo vuela: a más tardar el 17 de octubre de 2024, los Estados miembros deben adoptar y publicar las medidas necesarias para cumplir la Directiva NIS 2. Dichas medidas deberán aplicarse a partir del día siguiente, 18 de octubre de 2024.

A pesar de que el valor de mercado del sector de la ciberseguridad se estima en más de 130.000 millones de euros, con una tasa de crecimiento anual del 17%, Europa sigue siendo «cibervulnerable». Diversos informes, incluido uno de Waterfall Securities, indican un aumento dramático en los ataques cibernéticos, prediciendo que hasta 15,000 empresas podrían verse afectadas en los próximos cinco años.

El desafío no es solo de vulnerabilidad, sino también de impacto económico. El coste anual de la ciberdelincuencia se estimó en 5,5 billones de euros a finales de 2020, y el 60% de estos delitos buscaban únicamente en el beneficio económico. La amenaza va a crecer en número y sofisticación: para 2025 se estima que 41.000 millones de dispositivos estarán conectados al Internet de las Cosas, lo cual requiere de un ciberespacio abierto y seguro que fomente una mayor confianza entre los ciudadanos del mundo.

Además, los conflictos militares, como la situación actual en Ucrania, han galvanizado a los hacktivistas, los ciberdelincuentes y otros grupos oscuros con intereses respaldados por Estados. Antes de su invasión de Ucrania, Rusia había lanzado campañas de desinformación para influir en la opinión pública. Y para junio de 2022, había logrado desactivar durante su ofensiva militar el 15% de la infraestructura de Internet ucraniana, según la evaluación del Consejo Europeo.

Falta una respuesta conjunta

A pesar de las amenazas constantes, prevalece la sensación de que la UE aún no ha puesto en marcha una respuesta conjunta eficaz en materia de ciberseguridad. La Comisión Europea ha señalado varios problemas, entre ellos la inadecuada resiliencia cibernética de las empresas de la UE y una percepción diversa de las amenazas entre los Estados miembros, lo que ha llevado a una respuesta difícil de articular y descoordinada.

Las Directivas NIS 2 y CER están diseñadas para mejorar la ciberseguridad física y cibernética en el conjunto de la UE, con el objetivo de reforzar la resiliencia de las entidades críticas. Se espera que estas dos directivas, estrechamente relacionadas, tengan un impacto significativo, introduciendo medidas más estrictas de supervisión y cumplimiento. Hacen hincapié en una mayor coordinación en la gestión de incidentes y crisis de seguridad, mejoran el protocolo de notificación de vulnerabilidades y establecen un marco sancionador más estricto.

NIS 2, un nuevo horizonte para la ciberseguridad europea

La Directiva NIS 2, acrónimo en inglés de Seguridad de la Red y de la Información 2, tiene como objetivo fortalecer los requisitos de seguridad en varios conjuntos de entidades. Exige medidas para proteger las cadenas de suministro y las relaciones con los proveedores, y estandariza los procesos para informar y compartir información sobre incidentes. Además, introduce un mecanismo nuevo e importante: la Red Europea de Apoyo a las Crisis (EU-CYCLONe).

La Directiva actualiza la normativa anterior en materia de seguridad de las redes y sistemas de información, eliminando la distinción entre operadores de servicios esenciales y proveedores de servicios digitales.

Se introduce una nueva categorización de las entidades «estratégicas» en dos grupos: las entidades esenciales y las entidades importantes, en función de su importancia sectorial y su tipo de servicio. Cada categoría está sujeta a regímenes de supervisión distintos.

En la NIS 2, las entidades estratégicas se clasifican en ‘Altamente críticas’ y ‘Otros sectores críticos’:

Los sectores ‘Altamente críticos’ son los siguientes:

  • Energía (electricidad, calefacción y refrigeración urbanas, petróleo, gas e hidrógeno).
  • Transporte (aéreo, ferroviario, fluvial y terrestre).
  • Banca.
  • Infraestructuras de los mercados financieros.
  • Salud, incluida la fabricación de productos farmacéuticos y vacunas.
  • Agua potable y aguas residuales.
  • Infraestructuras digitales (puntos de intercambio de internet [IXP]; proveedores de servicios DNS; Registros de nombres de TLD…).
  • Gestión de servicios TIC (proveedores de servicios y proveedores de servicios de seguridad).
  • Administración pública.
  • Espacio.

Esta es la lista de los ‘Otros sectores críticos’:

  • Servicios postales y de mensajería.
  • Gestión de residuos.
  • Productos químicos.
  • Alimentos.
  • Fabricación de dispositivos médicos.
  • Informática y electrónica.
  • Maquinaria y equipo industrial.
  • Vehículos de motor, remolques, semirremolques y demás material de transporte.
  • Proveedores digitales (marketplaces on line, motores de búsqueda y plataformas de redes sociales).
  • Organismos de investigación.

Las entidades esenciales, tal y como las definen los Estados miembros de la UE, incluyen las de «Alta Criticidad» junto con los proveedores de servicios de confianza cualificados, los registros de nombres de dominio, los proveedores de servicios DNS, los proveedores de redes públicas de comunicaciones electrónicas y las entidades de la administración pública.

Además, se incluye también cualquier entidad de los “Otros sectores críticos” que sean identificadas como esenciales por un Estado miembro en la trasposición de la Directiva a la legislación nacional.

Por el contrario, las llamadas entidades importantes abarcan las que pertenezcan a cualquiera de los dos grupos pero no sean designadas como esenciales.

La Directiva CER, Protección de los Servicios Esenciales en Europa

La Directiva CER sustituye a la Directiva Europea de Infraestructuras Críticas de 2008 y se centra en mejorar y armonizar las estrategias y planes de resiliencia de los Estados miembros y las organizaciones. Ordena la implementación de medidas específicas para garantizar la prestación sin obstáculos de servicios esenciales críticos para mantener las funciones sociales y las actividades económicas vitales de cada territorio.

En consecuencia, la Directiva garantiza que las entidades críticas estén equipadas para prevenir, resistir, absorber y recuperarse de una variedad de incidentes graves, incluidos peligros naturales, accidentes, terrorismo, amenazas internas y emergencias sanitarias.

La Directiva CER engloba a entidades de 11 sectores altamente estratégicos, como la energía, el transporte, la banca, las infraestructuras de los mercados financieros, la salud, el suministro de agua potable, el tratamiento de aguas residuales, las infraestructuras digitales, la administración pública, el espacio y la alimentación.

¿En qué consistirán estas estrategias de resiliencia? Deben incluir:

  • Objetivos estratégicos y prioridades.
  • Un marco de gobernanza para alcanzar esos objetivos.
  • Una descripción de las medidas necesarias para mejorar la resiliencia general de las entidades críticas.
  • Una lista de las principales autoridades y partes interesadas involucradas en la implementación de la estrategia elegida.

La principal distinción entre la NIS 2 y la Directiva CER radica en su alcance: mientras que la NIS 2 se centra específicamente en la ciberseguridad, la Directiva CER reconoce que las interrupciones significativas también afectan a las infraestructuras físicas, como instalaciones, carreteras, ferrocarriles y sistemas de generación de energía, que son cruciales para prestar servicios esenciales a la población.

Cómo afectan NIS2 y CER a las empresas de la UE

Las Directivas NIS2 y CER están preparadas para establecer un marco crítico para la ciberseguridad y la seguridad física en toda la Unión Europea. Estas normas tienen como objetivo mejorar la gestión de incidentes y crisis de seguridad a gran escala, incluidos desastres naturales, ataques terroristas, amenazas internas o sabotajes.

Las nuevas regulaciones amplían su alcance para incluir a las pequeñas y medianas empresas y organizaciones (pymes). Los Estados miembros tienen la facultad discrecional de aplicar estas normas a entidades pequeñas que, a pesar de su tamaño, presenten vulnerabilidades claras o sean parte integrante de cadenas de suministro críticas.

Si bien se dirigen principalmente a las grandes empresas estratégicas, las directivas también imponen nuevos requisitos de ciberseguridad a las pymes dentro de las cadenas de suministro de los sectores críticos. Además, los proveedores de servicios digitales, incluidas las plataformas en línea y los sitios de comercio electrónico, también deben adherirse a las estipulaciones específicas de las Directivas.

Las evaluaciones de riesgos deben ser más rigurosas y eficaces, garantizando la continuidad de los servicios. Las entidades críticas están obligadas a notificar incidentes significativos tanto a un equipo o autoridad de respuesta designada como a los destinatarios de los servicios. Deben emitir alertas tempranas en un plazo de 24 horas, un informe de seguimiento en un plazo de 72 horas y un informe final completo en un plazo de 30 días.

En virtud de la Directiva CER, las autoridades tienen la tarea de evaluar los riesgos tanto naturales como inducidos por el hombre para los servicios esenciales. Esto incluye los riesgos derivados de las interdependencias entre sectores, lo que es especialmente crítico para grupos transfronterizos con filiales tanto dentro como fuera de la UE, y afecta a la gestión de la cadena de suministro.

Las medidas obligatorias incluyen garantizar la protección física de las instalaciones e infraestructuras críticas, responder y mitigar incidentes y gestionar la seguridad de los empleados al tiempo que se sensibiliza al personal sobre los protocolos de seguridad.

En caso de que un incidente perturbe significativamente la prestación de servicios esenciales en seis o más Estados miembros, las autoridades deben informar de ello a la Comisión.

Además, la dirección de la empresa es responsable de implementar estas medidas y debe participar regularmente en capacitaciones sobre ciberseguridad y gestión de riesgos de seguridad física.

Próximos pasos y fechas clave para la transposición de ambas Directivas

En el caso de la Directiva NIS 2, los Estados miembros deben notificar a la Comisión Europea sus regímenes sancionadores aplicables antes de enero de 2025. Además, para abril de 2025, deben compilar y presentar una lista de entidades esenciales e importantes, incluidas las que brindan servicios de registro de nombres de dominio.

Se han establecido importantes sanciones por incumplimiento: las multas pueden alcanzar hasta 10 millones de euros o el 2% de la facturación global para las entidades esenciales, y hasta 7 millones de euros o el 1,4% de la facturación para las grandes entidades.

En virtud de la Directiva CER, los Estados miembros tienen hasta el 17 de enero de 2026 para desarrollar una estrategia global de resiliencia, que incluya marcos de evaluación de riesgos y cualquier plan o documento pertinente. Deberán identificar a las entidades afectadas, como muy tarde, el 17 de julio de 2026.

Posteriormente, y en el plazo de un año, la Comisión presentará un informe al Parlamento Europeo y el Consejo, en el que se evaluará en qué medida cada Estado miembro ha aplicado las medidas necesarias.

Artículos relacionados

Los responsables de la comunidad de París han presentado recientemente un plan de 250 millones de euros para renovar los....