Dudas y aclaraciones sobre cómo implantar NIS2 en nuestras empresas

Dudas y aclaraciones sobre cómo implantar NIS2 en nuestras empresas

Juan Antonio Calles

Recientemente estuvimos hablando de la Directiva NIS2 en otro artículo de Flu Project, en este caso, dedicado a otro tema de vertiente muy similar, el lanzamiento del 2º paquete RTS lanzado por las AES para el cumplimiento de DORA. Sin embargo, en el post de hoy queremos centrarnos en NIS2 y en algunas de las diferentes dudas que han ido surgiendo en los últimos meses, así que guardaros este post a modo de FAQ, que posiblemente os resulte de utilidad en vuestras respectivas organizaciones.

A modo de recordatorio, cuando hablamos de NIS2 nos referimos a la Directiva (UE) 2022/2555: NIS 2 (v2 de Network and Information Security), dirigida a elevar la ciberseguridad en la UE utilizando como palanca a sectores esenciales. No tiene nada que ver con el NIST (americano), cuyo parecido en 3 letras de 4 es mera coincidencia ;). Esta nueva regulación nace para actualizar y derogar la Directiva (UE) 2016/1148 del 6 de julio de 2016 (antigua Directiva NIS1).

NIS2 distingue dos grandes agrupaciones a las cuales les aplicarán determinados requerimientos en función de su criticidad. Estos requerimientos serán de aplicación para las empresas de estos sectores, siempre y cuando tengan más de 50 trabajadores (es decir, que al menos sean mediana empresa):

  • Sectores de Alta Criticidad:
    • Energía
    • Transporte
    • Banca
    • Infraestructuras Mercados financieros
    • Sector Sanitario
    • Agua potable
    • Aguas Residuales
    • Infraestructura Digital
    • Servicios TIC (B2B)
    • Administración pública
    • Espacio

  • Otros Sectores Críticos:
    • Servicios Postales y de mensajería
    • Gestión de Residuos
    • Fabricación, producción y distribución de sustancias y mezclas químicas
    • Producción, transformación y distribución de alimentos
    • Fabricación: Entre otros de productos sanitarios.
    • Proveedores de servicios digitales
    • Investigación

Sin embargo y por la redacción del Artículo 2, Punto 1 de la Directiva, el cual ha generado algo de controversia porque la redacción da lugar a confusión, estos requerimientos no solo aplicarán a estos 18 sectores en las organizaciones medianas y grandes, si no que tambien aplicarán a cualquier organización de estos sectores, independientemente de su tamaño, en determinadas circunstancias.


Esta hipótesis queda corroborada tras la publicación del Centro Criptológico Nacional, quien aclara en esta página que, con independencia de su tamaño, las medidas aplicarán a ambas agrupaciones (Sectores de Alta Criticidad y Críticos) en casos vinculados a la seguridad nacional y al funcionamiento de las infraestructuras críticas, en centros que realicen investigación (ej. centros de enseñanza), en administraciones regionales y locales (ej. ayuntamientos), lo cual por otra parte es algo obvio, dado que en muchos casos como en pueblos y pequeñas ciudades no llegarán a los 50 empleados pero sus servicios son mas que esenciales para la ciudadanía y el estado, etc. En la siguiente captura de la web del CCN podréis consultar estos detalles: 


En esta misma publicación podréis descargar una infografía muy interesante que vincula el Esquema Nacional de Seguridad (ENS) con NIS2, y en la que aclaran que a ojos de la administración, una compañía que disponga del ENS certificado en su Nivel Alto, será considerada como "conforme" frente a la Directiva NIS2, por lo que si ya contáis con esta certificación, ya tendréis hechos los deberes:


 

Asimismo, aclara que aquellas compañías que tengan certificaciones ENS Media y Básica deberán hacer hincapié en los temas de continuidad y gestión de proveedores, tal y como define la propia Directiva.

Para comenzar a entender de qué va NIS2 os recomiendo 2 de las publicaciones oficiales que tenemos en castellano, la propia traducción oficial de la directiva:


Y la Guía CCN-STIC 892 que ha sido publicada hace apenas unos días:

Por otro lado, es importante aclarar que, según el artículo 41 de la Directiva NIS2, esta deberá transponerse por los países de la UE no mas tarde del 17 de octubre de 2024, bajo una norma con rango de Ley. Es decir, en un mes aproximadamente finalizará el plazo para tenerla oficialmente con nosotros, aunque aún hay cierta incertidumbre porque no ha sido publicada y se desconoce si habrá muchas variaciones que puedan cambiar el paso a aquellas organizaciones que ya se han puesto manos a la obra con la implantación.

Otra fecha importante que tenemos con nosotros es el 17 de abril de 2025, día en el que los diferentes países de la UE deberán de haber hecho públicos sus listados de empresas y administraciones afectadas por la aplicación de la regulación. Estos listados de entidades esenciales e importantes deberán de actualizarse, como máximo, cada 2 años.

Finalmente y al respecto de otra pregunta que nos suelen hacer, ¿NIS2 es certificable? Técnicamente NO. Simplemente es una ley que debemos de cumplir, como ocurre con otras muchas como la Ley Orgánica de Protección de Datos (LOPD). Sin embargo, tal y como aclara el CCN-CERT, debido a sus similitudes, la posesión de la certificación del ENS es una via reconocida para cumplir NIS2, por lo que es algo que las organizaciones podrán pensarse dentro de sus estrategias de gobierno y seguridad.

Próximamente seguiremos ampliando esta cadena de artículos según vayan siendo publicados nuevos datos de esta regulación tan esperada.

¡Saludos!



Regresar al blog

Deja un comentario

Ten en cuenta que los comentarios deben aprobarse antes de que se publiquen.