En los últimos años, nuestra sociedad ha demostrado ser vulnerable a incidentes cibernéticos. Por ello, la Unión Europea está enfocándose en fortalecer la ciber resiliencia de las organizaciones a través de la Directiva NIS2.
Esta directiva, una extensión de la original NIS (the Network and Information Systems Security Act), cuya trasposición más reciente al ordenamiento jurídico español fue a través del Real Decreto 43/2021, busca mejorar la seguridad de los servicios esenciales y los proveedores digitales en la UE mediante el establecimiento de obligaciones de seguridad más amplias, requisitos de notificación y sanciones más estrictas por incumplimiento.
El objetivo es garantizar un mayor nivel de seguridad en redes y sistemas de información, así como proteger las infraestructuras críticas de las amenazas cibernéticas.
La Directiva NIS2 debe ser transpuesta a la legislación nacional. El proceso de consulta ya ha comenzado, y aunque se prevé que la legislación esté completamente efectiva para 2025, esto no significa que las organizaciones deban esperar para adaptarse.
Transposición de la directiva NIS2 en España
La Directiva NIS2 debe ser transpuesta a la legislación nacional. El proceso de consulta ya ha comenzado, y aunque se prevé que la legislación esté completamente efectiva para 2025, esto no significa que las organizaciones deban esperar para adaptarse a sus obligaciones. La experiencia con normativas anteriores muestra que es recomendable comenzar a implementar las medidas necesarias cuanto antes.
Empieza a implementar la directiva
Para empezar a implementar las obligaciones de cuidado y notificación de NIS2, es esencial realizar un análisis de riesgos basado en buenas prácticas. A continuación, se presentan tres requisitos clave para una implementación exitosa:
- Creación de la propiedad
- Análisis de impacto
- Demostrabilidad ‘por diseño’.
1. Creación de la propiedad
Es crucial asignar claramente responsabilidades dentro de la organización. Esto puede dar lugar a discusiones, pero es fundamental que todos conozcan sus roles:
- Debes considerar cómo asegurar que estas responsabilidades se asignan al nivel adecuado, ya que la ciberseguridad es un tema que afecta a toda la organización.
- La NIS2 enfatiza la responsabilidad de la dirección, lo que puede generar nuevas responsabilidades. Involucra a la alta dirección, generar un gobierno central que dé soporte a los propietarios y asegúrate de que estén informados sobre los riesgos y los avances.
- Es recomendable realizar formaciones a nivel directivo para fomentar la propiedad y responsabilidad.
2. Análsis de impacto
Es importante entender el impacto de las medidas e incidentes en la organización:
- Para el deber de diligencia (responsabilidad de proteger la información y activos digitales), asegúrate de llevar un registro consistente de los resultados de las medidas y controles. Esto facilitará la demostración de cumplimiento durante la implementación.
- En cuanto a la obligación de notificación, es importante tener registros claros de las respuestas a incidentes. Utiliza métodos de gestión de crisis para la toma de decisiones durante incidentes graves, asegurando que las decisiones y acciones sean documentadas adecuadamente.
3. Demostrabilidad ‘por diseño’
La directiva NIS2 incrementa los requerimientos de demostrabilidad:
- Para el deber de diligencia, asegúrate de que haya un registro consistente de los resultados de las medidas desde el inicio de su implementación.
- Para el deber de notificación, vincula el método de respuesta a incidentes con el método de gestión de crisis, de manera que las decisiones y acciones tomadas queden claramente documentadas.
Conclusion
La Directiva NIS2 es de gran importancia para la UE, especialmente ante las amenazas cibernéticas actuales. La clave para una implementación exitosa radica en la colaboración, tanto dentro de las organizaciones como con terceros. Es fundamental comenzar a implementar las medidas necesarias y mantener en mente los requisitos para el éxito.
