Directiva europea NIS2 y empresas afectadas en la UE
Hay novedades en la Directiva NIS2 que afecta a distintas empresas dentro de la Unión Europea:
- Nuevos sectores
- Nuevas entidades
- Nuevas directrices para notificación de incidencias
- Nuevos requisitos de ciberseguridad
La normativa NIS2 (Network and Information System 2), desarrolla y refuerza la ciberseguridad de infraestructuras críticas y sectores esenciales, como la generación y transporte de energía, la salud, el transporte y servicios financieros.
Este cambio normativo, se debe tener en cuenta a partir del próximo 18 de octubre del 2024, afectando a todo tipo de empresas que presten servicios digitales esenciales, o que operen en sectores de infraestructuras esenciales para los ciudadanos.
El incumplimiento de la normativa NIS2 para las empresas afectadas, puede implicar sanciones de hasta el 2% de la facturación anual global, o sanciones de hasta 10 millones de euros.
¿ A qué empresas o entidades afecta ?
La Directiva NIS 2 diferencia dos tipos de sectores de aplicación:
- Sectores de Alta Criticidad
- Otros sectores críticos.
En total, hay unos 18 sectores afectados siendo 11 catalogados de alta criticidad y 7 de sectores catalogados como críticos.
Catalogación de sectores como «Alta Criticidad»:
- Aguas potables
- Espacio
- Energía
- Administración Pública
- Banca
- Transporte
- Infraestructuras digitales
- Mercados financieros
- Aguas residuales
- Servicios TIC (B2B)
- Sector sanitario
Catalogación de sectores como «Otros sectores críticos»:
- Proveedores servicios digitales
- Servicios postales
- Alimentación
- Fabricación
- Investigación
- Gestión de residuos
- Químicas
¿ Qué novedades o que medidas debe cumplir mi empresa si está afectada ?
Debe cumplir una serie de requisitos que afectan a cumplimiento normativo, como son:
- Gestión de riesgos y política de seguridad
- Gestión de incidencias (detección, notificación, plan de acción, …)
- Continuidad del negocio (plan de crisis, continuidad, contingencias, formación y simulacros)
- Seguridad en la cadena de suministro (evaluación y medidas de mitigación)
- Adquisición, desarrollo y mantenimiento de sistemas y redes (pentesting, mitigación de vulnerabilidades)
- Autenticación y transferencia de información (implementación 2FA o autenticación continua)
- Control de acceso a información sensible y gestión de activos para equipos de RRHH
- Cifrado y gestión de claves
- Concienciación y formación
- Eficacia de las medidas (evaluación y auditorias)
- Informe y notificación de incidencias
La NIS2 establece responsabilidades de alerta por etapas, para aquellos incidentes que tengan un «efecto notable» en la prestación de sus servicios. Estas alertas deben ser enviadas a la autoridad correspondiente o al CSIRT pertinente (INCIBE CERT). Los sucesos de relevancia son los que han generado o pueden generar severas interrupciones en los servicios de operación o pérdidas financieras para las entidades impactadas.
¿ Cómo se cumple el proceso de notificaciones ?
Para el cumplimiento normativo, debemos notificar en los plazos correspondientes:
- 24 horas alerta temprana: Si se trata de un incidente malintencionado con posibles repercusiones internacionales, se debe notificar en las primeras 24 horas.
- 72 horas notificación oficial: Tras 72 horas del suceso, se debe enviar una evaluación formal del incidente tratando estos puntos: Evaluación del incidente, Gravedad e impacto, Indicadores de compromiso.
- Informe de situación: A petición del CSIRT o la autoridad competente pertinente.
- Reporte final: Si el incidente sigue en curso, se debe presentar un informe de situación, seguido de un reporte final un mes después de la conclusión.
¿ Qué se debe mejorar en las empresas afectadas ?
En la medida de lo posible y en entorno industriales, las ciberseguridad informática debe ser incrementada, con técnicas basadas en estándares, protocolos, métodos y reglas, que nos permitan cumplir con la normativa que afecta a cada sector, minimizando los riesgos de la infraestructura y la custodia de la información.
Con implementaciones en las redes OT, la seguridad suele adaptarse a cada sector industrial de forma específica. De este modo, en casi ningún caso existirán normas generales en estas infraestructuras como sí sucede en las redes IT.
Y dentro del ámbito industrial se encuentra el SCADA (Supervisory Control And Data Acquisition), que es la tecnología de control de datos de los sistemas ICS (Industrial Control System). El SCADA es la integración de software y hardware que sirven para poder comunicar, controlar y supervisar diversos dispositivos de las redes industriales. Esto es algo que debemos tener claro para poder protegerlo, pues no solo se pueden ver afectados los datos y operaciones, sino que en infraestructuras críticas podemos poner en riesgo vidas humanas, un fuerte impacto medioambiental o afectar la continuidad de la propia empresa.

