Cumplimiento de la NIS2: qué exige la Directiva de ciberseguridad de la UE y cómo prepararse

La NIS2, la segunda Directiva de la UE sobre redes y sistemas de información, entró en vigor el 17 de octubre de 2024, fecha límite para que los Estados miembros la incorporaran a su legislación nacional. Sustituyó a la Directiva NIS original de 2016 con un ámbito de aplicación considerablemente más amplio, un conjunto de obligaciones de seguridad más prescriptivas y un régimen de cumplimiento lo suficientemente estricto como para que el incumplimiento se convirtiera en un riesgo financiero a nivel directivo, en lugar de una simple cuestión de gestión interna de TI.

Las implicaciones operativas aún se están analizando en toda la UE. La transposición por parte de los Estados miembros se ha llevado a cabo en plazos distintos y con distintos grados de rigor, y el conjunto de entidades «esenciales» e «importantes» es considerablemente más amplio que en el marco de la Directiva NIS 1. Para las empresas que operan en la UE o que venden sus productos en ella, la Directiva NIS 2 no es una cuestión de futuro. Se trata de una obligación legal vigente, y las disposiciones relativas a la cadena de suministro amplían su alcance mucho más allá de las entidades mencionadas directamente.

Esta guía se centra en los aspectos operativos del cumplimiento de la Directiva NIS2. Qué exige realmente la directiva, a quién se aplica, cómo funciona en la práctica el plazo para la notificación de incidentes y cómo los equipos de TI y los proveedores de servicios gestionados (MSP) pueden desarrollar un programa de cumplimiento que se pueda defender ante las autoridades. Para conocer el enfoque más amplio de la gobernanza a nivel del consejo de administración, incluida la responsabilidad personal de la alta dirección, consulte el artículo «Tanto si tiene su sede en la UE como si no, la Directiva NIS2 es una cuestión que compete al consejo de administración».

¿Qué es NIS2?

La NIS2 (Directiva (UE) 2022/2555) es la directiva actualizada de la UE en materia de ciberseguridad, publicada en diciembre de 2022 y cuya transposición al Derecho nacional por parte de los Estados miembros debe completarse antes del 17 de octubre de 2024. Sustituye a la Directiva NIS original (2016) con un ámbito de aplicación más amplio, requisitos más prescriptivos y una aplicación de la normativa considerablemente más estricta.

El objetivo de la directiva es claro: elevar el nivel básico de ciberseguridad en toda la UE, garantizar que los servicios críticos puedan resistir los ciberincidentes y recuperarse de ellos, y establecer la responsabilidad a nivel directivo, en lugar de considerar la ciberseguridad como una cuestión puramente técnica.

La ampliación de la NIS 1 a la NIS 2 es significativa. La NIS 1 abarcaba un conjunto limitado de servicios esenciales (energía, transporte, agua, sanidad e infraestructura digital). La NIS2 se extiende a 18 sectores, entre los que se incluyen la industria manufacturera, la alimentación, los productos químicos, los servicios postales, la administración pública y los proveedores digitales, y abarca un conjunto mucho más amplio de entidades dentro de cada sector. Las leyes nacionales de transposición pueden ir más allá de los requisitos mínimos de la directiva, lo que significa que el panorama exacto del cumplimiento para cualquier empresa depende tanto del Estado miembro en el que opera como de la propia directiva.

A quiénes se aplica la NIS2

La NIS2 clasifica a las organizaciones afectadas en dos categorías en función de su importancia crítica, y a cada una de ellas se le aplica un nivel diferente de control supervisor.

Las entidades esenciales son organizaciones que operan en sectores de alta criticidad. Energía (electricidad, petróleo, gas, calefacción urbana, hidrógeno), transporte (aéreo, ferroviario, marítimo, por carretera), banca, infraestructura del mercado financiero, salud, agua potable, aguas residuales, infraestructura digital (puntos de intercambio de Internet, DNS, registros de TLD, proveedores de servicios en la nube, centros de datos, CDN, proveedores de servicios de confianza), gestión de servicios de TIC (managed services servicios de seguridad gestionados), administración pública y espacio.

Otras entidades importantes son las organizaciones de otros sectores críticos. Entre ellas se incluyen los servicios postales y de mensajería, la gestión de residuos, la fabricación de productos esenciales (productos químicos, productos farmacéuticos, dispositivos médicos, ordenadores, productos electrónicos y vehículos), la producción y distribución de alimentos, los proveedores de servicios digitales (mercados en línea, motores de búsqueda y plataformas de redes sociales) y las organizaciones de investigación.

Los umbrales de tamaño son importantes. La NIS2 se aplica, por lo general, a las medianas empresas (con 50 o más empleados o una facturación anual de 10 millones de euros o más) y a las grandes empresas de los sectores contemplados. Las microempresas y las pequeñas empresas suelen quedar excluidas, salvo cuando prestan servicios específicos de alta criticidad, en cuyo caso su tamaño no las exime.

Los MSP están expresamente incluidos. La NIS2 menciona a los «proveedores de managed servicesy a los «proveedores de servicios de seguridad gestionados» como entidades de gestión de servicios de TIC incluidas en su ámbito de aplicación, reconociendo el riesgo que supone para la cadena de suministro el hecho de que un MSP sufra una violación de seguridad para los clientes a los que presta servicio. La exposición de la cadena de suministro también se da en sentido contrario. Incluso una organización que no pertenezca a un sector cubierto puede enfrentarse a obligaciones indirectas derivadas de la NIS2 a través de cláusulas contractuales de transferencia de responsabilidad si suministra servicios o productos a entidades incluidas en el ámbito de aplicación.

Requisitos de la NIS2: las diez medidas fundamentales

El artículo 21 de la Directiva NIS 2 exige a las entidades afectadas que apliquen «medidas técnicas, operativas y organizativas adecuadas y proporcionadas» para gestionar los riesgos de ciberseguridad. La Directiva establece diez ámbitos mínimos que deben abarcar dichas medidas:

1. Análisis de riesgos y políticas de seguridad de la información. Procesos de gestión de riesgos y políticas de seguridad documentados, que se revisan y actualizan periódicamente.

2. Gestión de incidentes. Procesos documentados de detección, respuesta y recuperación, con funciones y procedimientos de comunicación bien definidos.

3. Continuidad del negocio. Gestión de copias de seguridad, recuperación ante desastres y capacidad de gestión de crisis, es decir, la capacidad de mantener o restablecer rápidamente las funciones críticas tras un incidente.

4. Seguridad de la cadena de suministro. Evaluación y gestión de los riesgos de seguridad derivados de los proveedores y prestadores de servicios, incluidos los requisitos de seguridad estipulados en los contratos con los proveedores. Esta es la cláusula que regula expresamente las relaciones con los MSP.

5. Seguridad en la adquisición, el desarrollo y el mantenimiento de redes y sistemas de información. Prácticas de desarrollo seguro, gestión de vulnerabilidades y pruebas de seguridad.

6. Políticas y procedimientos para evaluar la eficacia de las medidas de gestión de riesgos de ciberseguridad. Comprobar si los controles establecidos funcionan realmente. Auditorías, pruebas e indicadores de rendimiento.

7. Prácticas de higiene en materia de ciberseguridad y formación. Sensibilización y formación para el personal de todos los niveles, no solo del departamento de TI.

8. Políticas y procedimientos sobre el uso de la criptografía y, cuando proceda, el cifrado. Cifrado de los datos en tránsito y en reposo cuando su carácter sensible lo justifique.

9. Seguridad de los recursos humanos, políticas de control de acceso y gestión de activos. Verificación de antecedentes, principio del mínimo privilegio de acceso e inventario completo de activos.

10. Autenticación multifactorial, autenticación continua y comunicaciones seguras. Autenticación multifactorial (MFA) en sistemas y cuentas críticos, además de canales seguros de voz, vídeo y texto.

Las diez áreas son requisitos mínimos, no un límite máximo. La expresión «apropiadas y proporcionadas» del artículo 21 significa que una entidad sujeta a la normativa debe abordar cualquier riesgo de ciberseguridad significativo, aunque no encaje perfectamente en ninguna de las diez categorías. Las leyes nacionales de transposición a veces lo especifican de forma más prescriptiva que la propia directiva.

Notificación de incidentes: la regla de las 24 horas

La obligación de notificar incidentes es, desde el punto de vista operativo, el aspecto de la Directiva NIS 2 que más probablemente pille desprevenidas a las organizaciones. El calendario es escalonado y muy ajustado.

Un incidente grave, definido como aquel que tiene un impacto sustancial en la prestación del servicio, debe notificarse siguiendo tres etapas. En un plazo de 24 horas desde que se tenga conocimiento del incidente, la entidad afectada debe enviar una alerta temprana al CSIRT (Equipo de Respuesta a Incidentes de Seguridad Informática) nacional pertinente o a la autoridad competente. Se trata de una notificación inicial. No requiere una investigación completa, pero sí exige que la entidad sepa que se ha producido un incidente y cuente con un proceso para presentar la alerta temprana con la rapidez suficiente para cumplir el plazo.

En un plazo de 72 horas, la entidad deberá enviar una notificación más detallada del incidente en la que se describa su naturaleza, gravedad e impacto estimado, así como cualquier indicio inicial de compromiso o información disponible sobre la causa raíz.

En el plazo de un mes, deberá presentarse un informe final que incluya una descripción detallada del incidente, la causa principal, las medidas adoptadas y cualquier repercusión transfronteriza.

La alerta temprana de 24 horas es el aspecto que desbarata la realidad operativa de las organizaciones que carecen de un sistema de vigilancia ininterrumpido. Analicemos lo que exige realmente la norma. Un ataque de ransomware que comienza a las 03:00 de la madrugada de un sábado se detecta y se evalúa a las 09:00 del lunes, cuando vuelve a abrir la oficina. A las 09:00 del lunes, el reloj de la alerta temprana ya ha consumido 30 horas, y la entidad ya lleva 6 horas de retraso respecto al plazo. La norma de las 24 horas es, en efecto, un requisito de monitorización continua impuesto por un plazo reglamentario más que por la redacción de la normativa. Las organizaciones que dependen de la detección solo en horario laboral, o de un sistema de enrutamiento de alertas que puede quedar en cola durante la noche, no la cumplirán de forma fiable.

Cumplimiento y sanciones

El régimen de aplicación de la NIS 2 es considerablemente más estricto que el de la NIS 1, y la diferencia se hace más patente en tres ámbitos.

Las sanciones económicas varían en función del tipo de entidad. Las entidades de importancia esencial se enfrentan a multas de hasta 10 millones de euros o el 2 % de su volumen de negocios anual mundial, el que sea mayor. Las entidades importantes se enfrentan a multas de hasta 7 millones de euros o el 1,4 % de su volumen de negocios anual mundial, el que sea mayor. Dado que el límite máximo se basa en el volumen de negocios mundial y no en los ingresos en la UE, una multinacional con una presencia reducida en la UE puede seguir enfrentándose a una multa considerable.

Los altos directivos pueden ser considerados personalmente responsables. Los Estados miembros pueden prohibir temporalmente que determinadas personas ocupen puestos directivos cuando se determine que han incumplido sus obligaciones en virtud de la Directiva NIS2 por negligencia grave. Se trata de un cambio significativo que aleja la ciberseguridad de su consideración como un mero problema informático; no obstante, las implicaciones detalladas en materia de gobernanza se tratan en la entrada complementaria sobre por qué la Directiva NIS2 es una cuestión que compete al consejo de administración.

Las facultades de supervisión son amplias. Las autoridades nacionales competentes pueden realizar auditorías, solicitar información y pruebas, emitir advertencias formales y exigir medidas correctivas específicas en materia de seguridad. Las entidades esenciales son objeto de un escrutinio proactivo por parte de las autoridades de supervisión con periodicidad regular. Las entidades importantes suelen ser supervisadas de forma reactiva, en respuesta a incidentes o a indicios de incumplimiento.

Cómo encaja la NIS2 con el RGPD, la norma ISO 27001 y la DORA

La NIS2 no es una normativa aislada. Se solapa con otros marcos normativos y de estandarización con los que las organizaciones que operan en la UE suelen estar ya trabajando.

GDPR

Tanto la NIS2 como el RGPD se aplican a las organizaciones que tratan datos personales en la UE, y ambas normativas abordan la respuesta ante incidentes y la seguridad de las organizaciones. El plazo de alerta temprana de 24 horas de la NIS2 es más estricto que el de notificación de violaciones de datos de 72 horas del RGPD, y cuando un incidente afecta tanto a datos personales como a la interrupción de un servicio cubierto, ambos plazos discurren en paralelo. La coordinación entre el delegado de protección de datos y el responsable de la respuesta a incidentes es fundamental, ya que un mismo suceso debe comunicarse a dos reguladores diferentes en dos plazos distintos.

ISO 27001

La norma ISO 27001 guarda una estrecha correspondencia con la NIS2 en lo que respecta a la gestión de riesgos, la gestión de incidentes y la continuidad del negocio. La certificación no equivale automáticamente al cumplimiento de la NIS2, especialmente en lo que se refiere a los requisitos específicos del sector y al plazo de notificación de 24 horas, pero ofrece una base sólida sobre la que fundamentarse. Las organizaciones que ya cuentan con la certificación suelen poder correlacionar la mayor parte de sus controles del SGSI existentes con las diez medidas de la NIS2, documentando las deficiencias en los aspectos restantes.

DORA

Las entidades del sector financiero pueden estar sujetas tanto a la Directiva NIS 2 como a la Ley de Resiliencia Operativa Digital (DORA). La DORA impone requisitos adicionales de gestión de riesgos de las TIC específicos para los servicios financieros y, cuando ambas normativas sean de aplicación, los controles deben diseñarse de manera que cumplan con ambos regímenes sin duplicar esfuerzos. Un error común en la implementación es tratar la DORA y la Directiva NIS 2 como programas de cumplimiento independientes que se aplican a los mismos controles.

Preparación para el cumplimiento de la NIS2: una guía práctica

El trabajo se divide en cinco fases.

1. Determinar la aplicabilidad y el contexto del Estado miembro. Confirmar si la organización pertenece a un sector afectado, si cumple el umbral de tamaño y qué legislación de transposición del Estado miembro es aplicable. En el caso de los MSP que prestan servicios a clientes incluidos en el ámbito de aplicación, identificar qué contratos con los clientes ya incluyen o implican obligaciones derivadas de la Directiva NIS2.

2. Realice una evaluación de deficiencias en relación con las diez medidas. Relacione los controles actuales con cada una de las diez áreas del artículo 21. Señale las deficiencias importantes, especialmente en lo que respecta a la capacidad de detección de incidentes las 24 horas del día, la evaluación de la seguridad de la cadena de suministro y la cobertura de la gestión de relaciones con los proveedores (MFA) en cuentas críticas. Estas son las tres áreas en las que la mayoría de las organizaciones presentan carencias.

3. Cubre primero las deficiencias que entrañan mayor riesgo. La capacidad de detección y notificación de incidentes suele ser la deficiencia más urgente desde el punto de vista operativo. La implantación de la autenticación multifactorial (MFA) en todas las cuentas administrativas y de alto valor es la medida de control más rápida de implementar en relación con la reducción del riesgo que ofrece. La evaluación de la cadena de suministro puede ser un proceso más lento, pero no debe dejarse de lado, ya que el mayor riesgo de incumplimiento de la NIS2 para muchas organizaciones reside en los proveedores que aún no han sido evaluados.

4. Involucre formalmente a la dirección. Las disposiciones de la NIS2 en materia de responsabilidad personal implican que la alta dirección no puede delegar esta cuestión al departamento de TI y dar por sentado que está resuelta. Informe al consejo de administración sobre las obligaciones que impone la directiva, documente la conversación y obtenga una aprobación explícita del programa de gestión de riesgos. La participación documentada de la dirección constituye en sí misma parte de las pruebas de cumplimiento.

5. Documenta y justifica de forma continua. El cumplimiento de la NIS2 debe demostrarse, no darse por sentado. Es necesario registrar y mantener actualizados los informes de evaluación de riesgos, las políticas de seguridad, los manuales de respuesta a incidentes, los registros de formación, las evaluaciones de seguridad de los proveedores y las pruebas de implementación de la autenticación multifactorial (MFA). El registro de auditoría es tan importante como los propios controles.

Compliance Manager GRC la evaluación de deficiencias de la Directiva NIS 2 y la gestión continua del cumplimiento normativo en las diez medidas del artículo 21, además de otros marcos normativos con los que probablemente trabaje una organización (RGPD, ISO 27001, controles CIS, normas específicas del sector). Descubra Compliance Manager GRC para gestionar los aspectos operativos de un programa NIS 2 que abarque varios marcos normativos a la vez.

NIS2 y los proveedores de servicios de telecomunicaciones: ámbito de aplicación, cadena de suministro y transferencia de obligaciones contractuales

Para los MSP, la NIS2 establece obligaciones en dos ámbitos.

La primera directriz es clara. Managed services los servicios de seguridad gestionados se consideran categorías de gestión de servicios de TIC en el marco de la Directiva NIS 2. Un proveedor de servicios gestionados (MSP) de un tamaño considerable que opere en la UE o preste servicios en ella es, en sí mismo, una entidad esencial o importante, dependiendo de su perfil, y está sujeto a la misma obligación de cumplir las diez medidas y al mismo requisito de notificación las 24 horas del día que sus clientes.

La segunda vía es indirecta, a través de la cláusula relativa a la cadena de suministro. Todos los clientes del MSP incluidos en el ámbito de aplicación tienen la obligación reglamentaria de evaluar y gestionar el riesgo de ciberseguridad que representan sus proveedores. En la práctica, esa obligación se traduce en cuestionarios de seguridad, solicitudes de pruebas, derechos de auditoría en los contratos y certificaciones obligatorias. Los MSP que prestan servicio a clientes incluidos en el ámbito de aplicación deben prever, y prepararse para, un aumento significativo de las medidas de diligencia debida en materia de seguridad de los proveedores impulsadas por los clientes.

La oportunidad comercial surge de la misma necesidad que la obligación. Los clientes que deben demostrar la seguridad de la cadena de suministro, la cobertura de la autenticación multifactorial (MFA) y la capacidad de respuesta ante incidentes en sus propios entornos necesitan un proveedor al que recurrir para obtener esos servicios. Los proveedores de servicios gestionados (MSP) que puedan demostrar su propio nivel de cumplimiento de la NIS2 y ofrecer managed services con el marco de diez medidas están en condiciones de satisfacer esa demanda. Compliance Manager GRC, junto con las capacidades de seguridad y documentación Kaseya 365 , proporciona a los MSP la infraestructura multitenant necesaria para ofrecer servicios alineados con la NIS2 sin tener que crear una práctica de cumplimiento específica para cada cliente.

El cumplimiento de la NIS2 no es un proyecto que tenga un final. La directiva ya está en vigor, los reguladores nacionales están identificando activamente a las entidades afectadas y el plazo de 24 horas para la notificación ya ha comenzado a correr, independientemente de que una organización haya desarrollado la capacidad necesaria para cumplirlo o no. Las organizaciones que salgan indemnes de la primera oleada de medidas coercitivas son aquellas que han tratado la NIS2 como un cambio permanente en el modelo operativo, en lugar de como una carrera temporal por el cumplimiento. Las que no lo hayan hecho descubrirán, en las reuniones informativas de los reguladores y no en las auditorías internas, exactamente en cuál de las diez medidas se han quedado cortas.