Cumplimiento NIS2 en España: Relación con ENS e ISA/IEC 62443

‍

En la era digital actual, la ciberseguridad se ha convertido en una prioridad esencial para las organizaciones, especialmente aquellas que operan en sectores críticos. La Directiva NIS2 (Network and Information Systems Directive 2), adoptada por la Unión Europea, refuerza las obligaciones de ciberseguridad para asegurar la resiliencia y la seguridad de los sistemas que soportan las infraestructuras vitales.

‍

En España, la implementación de la NIS2 se interrelaciona estrechamente con el Esquema Nacional de Seguridad (ENS), una normativa que establece los principios básicos y los requisitos de seguridad para la administración pública y sectores afines. Además, la norma ISA/IEC 62443 proporciona un marco integral de ciberseguridad específicamente diseñado para sistemas de control industrial, que es crucial para la protección de infraestructuras críticas.

‍

Comprender cómo estas regulaciones y normas se entrelazan es vital para garantizar un enfoque coherente y eficaz en la gestión de la ciberseguridad.

‍

‍

¿Qué es la Directiva NIS2?

‍

La Directiva NIS2, también conocida como Directiva (UE) 2022/2555, es una normativa europea destinada a fortalecer la ciberseguridad en toda la Unión Europea. Su principal objetivo es garantizar que las empresas que gestionan infraestructuras críticas adopten medidas de seguridad adecuadas para protegerse contra amenazas cibernéticas. Esta directiva reemplaza a la anterior Directiva NIS, reflejando la evolución continua de las amenazas y la necesidad de un marco de seguridad más robusto.

‍

A diferencia de su predecesora, la NIS2 establece objetivos claros de ciberseguridad sin imponer métodos específicos para su cumplimiento. Esto permite a cada país de la UE desarrollar y adoptar sus propias leyes y regulaciones adaptadas a las realidades locales.

‍

La NIS2 fue publicada el 14 de diciembre de 2022 y debe ser implementada por todos los Estados miembros de la UE antes del 17 de octubre de 2024.

‍

¿Quién debe cumplir con la Directiva NIS2?

‍

La Directiva NIS2 enumera todos los sectores y subsectores que deben cumplir con esta normativa europea sobre ciberseguridad. Basándose en tres criterios – ubicación, tamaño y sector – se determina qué organizaciones están sujetas a la NIS2:

‍

Por ubicación

‍

• Todas las empresas que ofrecen servicios o desarrollan actividades en cualquier país de la Unión Europea, independientemente de si tienen su sede en la UE o no

‍

Por tamaño

‍

• Empresa pequeña: Menos de 50 empleados y menos de 10 millones de euros en ingresos anuales.
• Empresa mediana: Entre 50 y 250 empleados y entre 10 y 50 millones de euros en ingresos anuales.
• Empresa grande: Más de 250 empleados y más de 50 millones de euros en ingresos anuales

‍

Por sector

‍

Sectores de Alta Criticidad

‍

• Energía.
• Transporte.
• Banca.
• Infraestructura de los mercados financieros.
• Sector sanitario.
• Agua potable.
• Aguas residuales.
• Infraestructura digital.
• Gestión de servicios TIC.
• Administración pública.
• Espacio.

‍

Otros sectores críticos

‍

• Investigación.
• Química.
• Alimentación.
• Servicios postales y de mensajería.
• Proveedores de servicios digitales.
• Fabricación.
• Gestión de residuos.

‍

Basándose en estos criterios, la NIS2 clasifica a las empresas en dos tipos: Entidades Esenciales (EE) y Entidades Importantes (EI). Las Entidades Esenciales deben cumplir con requisitos normativos más estrictos. Esta clasificación puede ser confusa, por lo que hemos preparado una tabla que detalla qué organizaciones deben cumplir con la Directiva NIS2 y especifica si están clasificadas como EE o EI basada en los criterios descritos.

‍

Descarga nuestra guía: Cumplimiento NIS2 en España para saber si tu empresa está clasificada como Esencial o Importante.

‍

‍

Requisitos para el cumplimiento de la NIS2

‍

La Directiva NIS2, en su Capítulo IV titulado “Medidas para la gestión de riesgos de ciberseguridad y obligaciones de notificación”, define las acciones que las organizaciones deben tomar para cumplir con la normativa. Los demás capítulos de la directiva abordan las obligaciones de los Estados miembros de la UE y las entidades gubernamentales en la implementación de la NIS2, por lo que no son directamente aplicables a las organizaciones privadas.

‍

Capítulo IV de la Directiva NIS2: Claves de Cumplimiento

‍

Artículo 20 - Gobernanza. Este artículo establece los requisitos para la gobernanza de la ciberseguridad en las organizaciones, incluyendo la responsabilidad y supervisión a nivel directivo.

‍

Artículo 21 - Medidas para la Gestión de Riesgos de Ciberseguridad. Este artículo se centra en las medidas de ciberseguridad que deben implementar las organizaciones. Incluye varios aspectos críticos como:

‍

• Políticas de seguridad de los sistemas de información y análisis de riesgos.
• Gestión de incidentes.
• Continuidad de las actividades: Gestión de copias de seguridad, recuperación en caso de catástrofe y gestión de crisis.
• Seguridad de la cadena de suministro.
• Seguridad en la adquisición, desarrollo y mantenimiento de sistemas de redes e información.
• Evaluación de la eficacia de las medidas de gestión de riesgos de ciberseguridad.
• Prácticas básicas de ciberhigiene y formación en ciberseguridad.
• Políticas y procedimientos relativos a la utilización de criptografía.
• Seguridad de los recursos humanos, políticas de control de acceso y gestión de activos.
• Uso de soluciones de autenticación multifactorial o de autenticación continua.

‍

Artículo 22 - Evaluaciones de los Riesgos de Seguridad de las Cadenas de Suministro. Este artículo especifica la necesidad de realizar evaluaciones de riesgo que aborden la seguridad de las cadenas de suministro.

‍

Artículo 23 - Obligaciones de Notificación. Las organizaciones deben cumplir con las obligaciones de notificación de incidentes de ciberseguridad significativos, siguiendo los procedimientos establecidos.

‍

Artículo 24 - Utilización de Esquemas Europeos de Certificación de la Ciberseguridad. Se fomenta el uso de esquemas de certificación de ciberseguridad aprobados por la UE para asegurar la calidad y seguridad de los sistemas de información.

‍

Artículo 25 - Normalización. Promueve la normalización de procesos y prácticas de ciberseguridad para facilitar un enfoque común en la UE.

‍

‍

Obligaciones principales de la Directiva NIS2 para las organizaciones

‍

Las dos obligaciones principales que impone la NIS2 a las organizaciones son:

‍

1. Políticas y Procedimientos de Ciberseguridad

‍

La creación de políticas y procedimientos de ciberseguridad es esencial para cumplir con la NIS2. En esta sección se presentan todos los documentos que las compañías deben redactar según el Capítulo IV de la NIS2, llamado “Medidas para la gestión de riesgos de ciberseguridad y obligaciones de notificación”.

‍

Descarga nuestra guía: Cumplimiento NIS2 en España para saber toda la documentación requerida por NIS2.

‍

‍

‍

2. Gestión y Notificación de Incidentes

‍

La NIS2 define como incidente “todo hecho que comprometa la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o tratados, o los servicios ofrecidos por sistemas de redes y de información o accesibles a través de ellos”.

‍

La NIS2 solo exige notificar los incidentes significativos, es decir, aquellos que:

‍

• Han causado o pueden causar alteraciones operativas graves de los servicios o pérdidas económicas para la entidad afectada.
• Han afectado o pueden afectar a otras personas físicas o jurídicas al causar daños materiales o inmateriales considerables.

‍

Las notificaciones se deben realizar a:

‍

• El equipo de respuesta a incidentes de seguridad informática (CSIRT) o una autoridad competente.
• Los destinatarios de servicios de entidades que puedan verse afectados por el incidente significativo.

‍

‍

Consecuencias del incumplimiento NIS2

‍

El incumplimiento de la Directiva NIS2 puede tener consecuencias significativas para las organizaciones, incluyendo sanciones económicas severas. Estas penalizaciones están diseñadas para asegurar que las Entidades Esenciales y Entidades Importantes tomen en serio sus obligaciones de ciberseguridad.

‍

1. Multas para Entidades Esenciales (EE)

‍

Las Entidades Esenciales, que son aquellas con un impacto crítico en la infraestructura y servicios fundamentales, pueden enfrentarse a sanciones que pueden llegar hasta:

‍

• 10 millones de euros o el 2% del volumen de negocios anual global de la empresa, lo que sea mayor.

‍

2. Multas para Entidades Importantes (EI)

‍

Para las Entidades Importantes, que también desempeñan un papel crucial pero con un impacto menos inmediato que las Entidades Esenciales, las multas pueden ascender hasta:

‍

• 7 millones de euros o el 1,4% del volumen de negocios anual global, lo que sea mayor.

‍

Estas sanciones subrayan la importancia del cumplimiento con la NIS2 y reflejan el compromiso de la Unión Europea para asegurar que todas las organizaciones en sectores críticos y de alta criticidad implementen medidas efectivas de ciberseguridad.

‍

‍

Cumplimiento NIS2 en España

‍

La Directiva NIS2 se relaciona estrechamente con otros marcos regulatorios y normativos que aseguran la ciberseguridad en las infraestructuras críticas y los servicios esenciales.

‍

ENS y su relación con la NIS2

‍

La Directiva NIS2 especifica los objetivos que las empresas deben alcanzar en términos de ciberseguridad, pero no impone métodos específicos para lograrlos. Este enfoque flexible permite que cada país miembro de la UE desarrolle e implemente sus propias leyes y regulaciones de ciberseguridad, adaptándolas a las necesidades y circunstancias locales.

‍

En España, el Centro Criptológico Nacional (CCN-CERT) ha publicado el Perfil de Cumplimiento Específico NIS2 (PCE-NIS2) como parte de la transposición de la directiva al Esquema Nacional de Seguridad (ENS). El PCE-NIS2 está diseñado para ayudar a las organizaciones a cumplir con las exigencias de la Directiva NIS2, alineándose con los requisitos del ENS y garantizando un nivel de ciberseguridad adecuado en las infraestructuras críticas y los servicios esenciales.

‍

La implementación del ENS puede facilitar significativamente el cumplimiento con la NIS2, ya que las entidades adaptadas al ENS ya habrán implementado muchas de las medidas de seguridad requeridas por la NIS2.

‍

ISA/IEC 62443 y su relación con la NIS2

‍

El ISA/IEC 62443 es un conjunto de estándares de seguridad diseñado específicamente para proteger los sistemas de control y automatización industrial. Para el cumplimiento de la Directiva NIS2, el estándar IEC 62443 más relevante es el IEC 62443-2-1, que establece requisitos de seguridad para los propietarios de activos IACS (Sistemas de Control y Automatización Industrial).

‍

Este estándar proporciona pautas para un enfoque sistemático en el mantenimiento de sistemas de control y automatización industrial, incluyendo la evaluación de riesgos, políticas de seguridad, medidas de protección y mecanismos de revisión, todo con el fin de salvaguardar la infraestructura crítica contra ciberataques.

‍

¿Qué debo cumplir: NIS2, ENS o ISA 62443?

‍

Es esencial cumplir con el PCE-NIS2 y las directrices del CCN-CERT para asegurar la plena conformidad con la Directiva NIS2 en España. Sin embargo, en entornos de tecnología operativa (OT), también es crucial priorizar la implementación del estándar IEC 62443, el cual complementa estos esfuerzos.

‍

El IEC 62443 permite a las organizaciones establecer medidas de seguridad específicas para los sistemas de control y automatización industrial, fortaleciendo así la seguridad y garantizando el cumplimiento de los requisitos de la Directiva NIS2.

‍

Descarga nuestra guía: Cumplimiento NIS2 en España y conoce la correlación de las medidas de PCE-NIS2 y ISA/IEC 62443 en base a los objetivos marcados por la NIS2.

‍

Cómo prepararse para el cumplimiento NIS2

‍

Prepararse para cumplir con la Directiva NIS2 puede parecer una tarea desalentadora, pero con la estrategia adecuada, tu empresa puede cumplir eficazmente con los requisitos. Aquí te presentamos algunos pasos clave:

‍

1. Evaluación de Riesgos. Realiza una evaluación exhaustiva de los riesgos de ciberseguridad que enfrenta tu organización. Esto te permitirá identificar las áreas más vulnerables y priorizar las acciones de mitigación.
2. Desarrollo de Políticas. Establece políticas y procedimientos claros basados en los requisitos de la NIS2. Las políticas deben ser comprensibles y aplicables a todos los niveles de la organización.
3. Implementación de medidas técnicas. Adopta soluciones tecnológicas y prácticas de gestión que fortalezcan tu postura de seguridad. Esto incluye la implementación de firewalls, sistemas de detección de intrusos, y la configuración de accesos seguros.
4. Formación y Concienciación. Capacita a tu personal en las mejores prácticas de ciberseguridad y asegúrate de que estén informados sobre sus responsabilidades. La formación debe ser continua y adaptada a los cambios en el entorno de amenazas.
5. Auditorías y Monitoreo Continuo. Realiza auditorías regulares y monitorea continuamente tus sistemas para asegurar el cumplimiento continuo. Las auditorías ayudan a identificar áreas de mejora y garantizar que se sigan las políticas establecidas.

‍

¿Quieres más información sobre cómo cumplir con la Directiva NIS2? Descarga nuestra guía: Cumplimiento NIS2 en España. En ella, encontrarás todo lo necesario para asegurarte de que tu empresa esté preparada para cumplir con los requisitos de la NIS2.

‍

‍

‍

Contacta con nosotros si necesitas asistencia personalizada, nuestro equipo de expertos en ciberseguridad está disponible para ayudarte a navegar el proceso de cumplimiento y proteger tus infraestructuras críticas.

‍

‍