Conoce Atico34 - Solicita presupuesto
CiberseguridadGlosario

Directiva NIS ¿Qué es y qué medidas incluye?

La Directiva NIS es una de las normativas sobre ciberseguridad más importantes de la UE, que todos los Estados miembros están obligados a adaptarla en su legislación interna. En este artículo explicamos qué es la Directiva NIS, cómo se aplica en España y las novedades que introdujo la Directiva NIS 2.0 en 2022.

¿Qué es la Directiva NIS?

La Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, más conocida como Directiva NIS (Network and Information Systems), es la normativa europea a través de la cual se quiere desarrollar un marco regulatorio para la implementación de una estrategia de ciberseguridad común, que además impulse el Mercado Único Digital.

También llamada Directiva NIS de Ciberseguridad, se creó La Directiva NIS se creó con el objetivo común para todos los Estados miembros de adoptar e implementar medidas de seguridad en redes y sistemas de información de la UE, medidas que, en vez ser fragmentarias (es decir, con cada país tomando sus propias decisiones en materia de ciberseguridad), fueran más o menos comunes entre todos los Estados miembros, además de garantizar la cooperación en materia de seguridad cibernética entre todos los miembros de la UE.

La Directiva NIS entró en vigor en agosto de 2017 y, desde entonces, ha experimentado una actualización, la conocida como Directiva NIS 2.0, que fue publicada en diciembre de 2022 (de cuyas novedades y entrada en vigor hablaremos más adelante).

Las principales medidas de la Directiva NIS

La Directiva NIS recoge una batería de medidas con el objetivo de que todos los Estados miembros dispongan de unos «requisitos mínimos comunes en materia de desarrollo de capacidades y planificación, intercambio de información, cooperación y requisitos comunes de seguridad para los operadores de servicios esenciales y los proveedores de servicios digitales».

Es decir, se trata de medidas que tienen como finalidad reforzar la ciberseguridad y la ciberresilencia de los sistemas y redes de información.

Así, las principales medidas introducidas por la Directiva NIS fueron las siguientes:

  • Todos los países que forman parte de la Unión Europea, están obligados a adoptar una Estrategia Nacional de Seguridad acerca de las redes y sistemas de información, porque como indicamos anteriormente, ha existido una gran diferencia entre los Estados Miembros.
  • Para crear esa estrategia común, se ha de crear un grupo de cooperación que posibilite que se produzca un intercambio de información entre los países.
  • Se ha de crear también una red de Equipos de Respuesta a Incidentes de Seguridad Informática (red CSIRT) con el fin de que se agilice esa cooperación.
  • Todas aquellas entidades (públicas o privadas) que presten servicios esenciales (como son el energético, financiero, salud, etc.) y proveedores de servicios digitales (motores de búsqueda, comercio electrónico, redes sociales, web, mail, etc.) que dependan de redes y sistemas de información, habrán de contar con ciertas estrategias de seguridad.
  • En cada Estado Miembro, las autoridades nacionales tendrán obligaciones en materia de seguridad de redes y sistemas de información.

¿Qué norma española transpone la Directiva NIS sobre ciberseguridad?

La Directiva NIS en España fue transpuesta por el Real Decreto-ley 12/2018, de seguridad de las redes y los sistemas de información, donde se regula la seguridad de los sistemas y redes de información, se establece un sistema común y coordinado de notificación de incidentes y se crea un marco institucional para la coordinación de autoridades judiciales y el resto de órganos garantes del cumplimiento de la Ley. Esta Ley fue actualizada con el Real Decreto 43/2021.

Cabe señalar que estas estrategias de seguridad no solo afectan a los Gobiernos, sino también a diferentes actores privados cuya actividad esté contemplada en la Directiva como un sector crítico.

Así, la ley recoge la creación de tres CSIRT en España:

  • CCN-CERT para el sector público, adscrito al Centro Criptológico Nacional.
  • INCIBE-CERT para la comunidad que no pertenezca al CCN-CERT, ciudadanos y entidades de derecho privado.
  • ESPDEF-CERT, del Mando Conjunto de Ciberdefensa, que coopera con los otros CSIRT en aquellas situaciones en la que estos requieran en apoyo de los operadores esenciales y aquellos que tengan incidencia en la Defensa Nacional.

La ley también establece la obligación para los operadores de servicios esenciales y los proveedores de servicios digitales de notificar a la autoridad competente, a través del CSIRT de referencia, cualquier incidente que pueda tener un alto impacto negativo en dichos servicios y aquellos incidentes que aun no habiendo tenido dicho impacto, presentar potencial peligrosidad.

Esta ley también recoge un régimen sancionador para quienes no cumplan con las obligaciones recogidas en sendos Reales Decretos, con multas de 100.000 euros para las infracciones leves, y de hasta un millón de euros para las muy graves.

tarifas compliance

Novedades de la Directiva NIS 2.0

Cómo adelantábamos, a finales de 2022, el Parlamento Europeo y el Consejo publicaron una actualización de la Directiva NIS sobre ciberseguridad, bautizada como «NIS 2.0», que refuerza varias de las medidas ya establecidas en la primera Directiva e introduce varias novedades en cuanto a obligaciones para los Estados miembros.

Entre las principales novedades de la Directiva NIS 2.0 destacamos:

  • Se amplía el concepto de entidades esenciales, añadiendo nuevos sectores considerados como críticos.
  • Se crea el concepto de «sectores importantes», en el que se incluyen la gestión de residuos, el sector aeroespacial, los proveedores y fabricantes de servicios digitales, el sector alimentario (en toda su cadena), los servicios postales y los de generación y distribución de sustancias y productos químicos.
  • Se añaden nuevos requisitos de seguridad para las organizaciones y se refuerza la concienciación sobre la privacidad desde el diseño y por defecto, la obligación de cifrar la información, nuevos requisitos para la respuesta ante incidentes y certificación de servicios, sistemas y/o productos bajo esquemas europeos de certificación.
  • Para armonizar la aplicación de la normativa en los Estados miembros, la Agencia de la Unión Europea para la Ciberseguridad (ENISA) se convierte en la responsable de la difusión de nuevas normas para la prevención, detección y respuesta ante ciberataques dentro de la UE.
  • Integración con la normativa sectorial, como son DORA (Resiliencia Operativa Digital del sector financiero) y CER (Directiva de Resiliencia de Entidades Críticas).
  • Se promoverá una mayor cooperación entre las autoridades europeas mediante la creación de EU-CYCLONe (Red Europea de Organización de Enlace de Crisis Cibernéticas), para coordinar la respuesta y gestión de ciberataques de gran alcance.
  • Se refuerzan los requisitos de seguridad en proveedores y en la cadena de suministro. Las organizaciones consideradas operadores críticos podrán exigir a sus proveedores el cumplimiento de la normativa.
  • La responsabilidad del cumplimiento de las medidas de seguridad es responsabilidad de los órganos directivos de la empresa.
  • Se promueve la colaboración público-privada con la propuesta de crear Public-Private-Partnerships (PPPs) especializadas en ciberseguridad, con el objetivo de crear estrategias nacionales de ciberseguridad en cada Estado miembro.

Los Estados miembros tienen de plazo hasta el 17 de octubre de 2024 para transponer esta Directiva a su ordenamiento jurídico. En esa fecha, también, quedará derogada la Directiva NIS anterior.

tarifas proteccion datos

Relación de la Directiva NIS con el Esquema Nacional de Seguridad

Lo que se buscaba al aplicar la transposición de la Directiva NIS era impulsar el desarrollo del mercado interior mediante la mejora de la seguridad existente en las redes y sistemas de información (que son lo que sustentan a todos aquellos servicios esenciales y servicios digitales existentes).

Para ello, se equipararon las medidas de la Directiva NIS (es decir, el desarrollo) con el Esquema Nacional de Seguridad (ENS). Esto se reflejó en un módulo de medidas adicionales del ENS que se orientan al efectivo cumplimiento de la Directiva NIS. Este módulo, que se denomina NIS-ENS, facilita que se cumplan los requisitos de ambas al incorporarse nuevas medidas a las que ya existían previamente dentro del ENS.

Además, resulta muy necesario hacer mención a la Ley PIC 8/2011, que fue complementada por el Real Decreto 704/2011. La misma define cuáles son las infraestructuras críticas: aquellas cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción causaría un impacto de consideración grave sobre los servicios esenciales.

La Directiva NIS reconoce a INCIBE-CERT como equipo de referencia en España en respuesta ante cualquier incidente de seguridad para ciudadanos y empresas. El mismo debe coordinarse con el resto de los equipos nacionales e internacionales para mejorar la eficacia en la lucha contra los ciberataques.

Opera juntamente con el CNPIC (Centro Nacional de Protección de Infraestructuras Críticas y Ciberseguridad) del Ministerio del Interior.

A raíz de la aprobación del Real Decreto-Ley, INCIBE pasó a tener por primera vez competencias públicas y determinadas por ley.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.