kⒶosTICa

Europa pone orden en su ciberseguridad

Europa pone orden en su ciberseguridad
Europa pone orden en su ciberseguridad

La Unión Europea (UE) aprobó en 2016 su directivo de ciberseguridad, conocida como NIS (Network and Information Security), con la que pretendía crear un marco común seguridad para las redes y los sistemas de información de los Estados miembros. Aquel movimiento supuso el primer acto legislativo de la UE en materia de ciberseguridad. En esencia, buscaba definir una línea estratégica contra los ciberataques que, como hemos visto con el reciente caso de ransomware de la compañía de oleoductos Colonial en EEUU, están siendo cada vez más frecuentes.

La directiva venía a intentar predecir y gestionar los riesgos potenciales, con especial énfasis a la protección de las infraestructuras estratégicas. Apenas tres años después, el Parlamento europeo comenzó a plantear la necesidad de actualizar la directiva, mirando hacia una NIS 2.0, ampliando su alcance a otros sectores críticos que no se contemplaban en la primera versión.

El veredicto a la hora de juzgar el resultado de la primera directiva no ha sido muy positivo: ni ha sido lo suficientemente coherente ni se han conseguido los niveles de armonización deseados entre los diferentes países. Así pues, sería a principios de 2020 cuando se iniciara esta revisión para superar las limitaciones de NIS 1.0 y en diciembre de 2020 vio la luz la nueva versión. El espíritu de la norma continúa dando flexibilidad a los Estados para que sean ellos quienes definan qué entidades son esenciales y cuáles importantes, si bien para evitar las divergencias que había propiciado la primera directiva existe un listado común de partida.

En este sentido, la NIS de 2016 priorizaba la protección de los sectores de la energía, el transporte, el agua, la banca, las infraestructuras del mercado financiero, la sanidad y la infraestructura digital. Con NIS 2.0 se introducen nuevos sectores, clasificados como esenciales e importantes:

  • Esenciales: Todos los anteriores y, además, las aguas residuales (alcantarillado), la Administración Pública y el espacio.
  • Importantes: servicios postales y de mensajería; gestión de residuos; fabricación,  producción y distribución de productos químicos; producción, procesamiento y distribución de alimentos; fabricación y proveedores digitales.

Asimismo, si en la NIS 1.0 se distinguía entre Operadores de Servicios Esenciales (OES) y Proveedores de Servicios Digitales (DSP), esta diferenciación queda ahora suprimida. Lo verdaderamente definitorio es su carácter de esencial o de importante.

NIS 2.0 refuerza los requisitos de seguridad exigibles a este tipo de entidades, obligándoles a contar con planes de gestión de riesgos en los que se detallen los elementos básicos de seguridad, así como planes de respuesta a incidentes, de continuidad de negocio y gestión de crisis.

No sólo eso, sino que se marca de manera estricta cómo han de notificarse los incidentes de seguridad autoridades nacionales competentes o al Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT) correspondiente, qué han de contener esos informes y qué plazo existe para remitirlos. De esta manera, desde la detección del incidente no pueden transcurrir más de 24 horas para comunicárselo tanto a las autoridades competentes como a los usuarios afectados.

Asimismo, la directiva refuerza las medidas de supervisión por parte de las autoridades nacionales, que habrán de realizar auditorías periódicas, inspecciones in situ, supervisiones externas, etc. En esta línea, NIS 2.0, la directiva otorga el derecho a estas autoridades a imponer multas de hasta 10 millones de euros o el 2% de la facturación mundial anual de la compañía (el que sea más alto) por las infracciones más graves.

Es importante destacar también la atención prestada al fortalecimiento de las políticas comunes para compartir información sensible relacionada con amenazas. Ese refuerzo de la cooperación se antoja crítico, trascendiendo el mero intercambio de información sobre ciberseguridad y estableciendo una red europea para incidentes masivos de ciberseguridad integrada por las autoridades nacionales competentes.

Esta propuestas NIS 2.0 aún está sujeta a negociaciones en el seno del Consejo de la UE y del Parlamento europeo. Además, una vez aprobada la versión definitiva –que no se espera hasta finales de año-, los Estados miembros aún contarán con 18 meses para transponer la directiva a la legislación nacional.