Nuevas normas sobre ciberseguridad también para Pymes

02/10/2024

El 17 de octubre de 2024 termina el plazo de transposición de la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo (NIS 2) sobre medidas dirigidas a garantizar un nivel común de ciberseguridad en toda la Unión.

Ya hace ocho años, en 2016, la Unión Europea aprobó la directiva NIS, (traspuesta a la legislación española por el Real Decreto Ley 12/2018) con el objetivo de vincular a determinadas empresas (llamadas entonces Operadores de Servicios Esenciales) con medidas de ciberseguridad.

Con el paso del tiempo y el avance de la digitalización, se ha hecho necesario actualizar y avanzar el entramado jurídico del ciberderecho, sobre todo en lo que se refiere a su aplicación a empresas medianas y pequeñas dimensiones.

La Directiva NIS2, Directiva (UE) 2022/2555 (Network and Information Security), establece un marco de seguridad de la información para garantizar la protección de los sistemas y las redes de información, con el fin de prevenir ataques y garantizar la continuidad de los servicios.

La nueva norma requiere que los Estados miembros:

  • Adopten estrategias de ciberseguridad.
  • Establezca autoridades competentes.
  • Designen autoridades de gestión de crisis de ciberseguridad.
  • Indique puntos de contacto únicos.
  • Forman equipos de respuesta a incidentes de seguridad informática (CSIRT, por sus siglas en inglés: “Computer Security Incident Response Team”).

Nuevos sectores y entidades aplicables Sectores de Alta Criticidad (11 sectores):

  • Energía.
  • Banca.
  • Infraestructuras de mercados financieros.
  • Sector sanitario.
  • Transporte.
  • Infraestructura digital.
  • Aguas potables.
  • Aguas residuales.
  • Administración pública (con exclusión del poder judicial, parlamentos y bancos centrales).
  • Gestión de servicios TIC (Business to Business).
  • Espacio.

Otros sectores críticos (7 sectores):

  • Investigación.
  • Química.
  • Alimentación.
  • Servicios postales.
  • Proveedores digitales.
  • Fabricación
  • Gestión de residuos.

Se distinguen dos tipos de entidades:

Entidades esenciales, que son las que pertenecen a los sectores de alta criticidad, así como los prestamistas calificados de servicios de confianza y registros de nombres de dominio de primer nivel y proveedores de servicios de DNS, independientemente de su tamaño.

También se consideran esenciales los proveedores de redes públicas de comunicaciones electrónicas o de servicios de comunicación electrónicos disponibles para el público que sean consideradas medianas empresas, entidades de la Administración Pública, cualquier otra entidad perteneciente a otros sectores críticos que el Estado miembro identifique como a entidad esencial, las entidades críticas identificadas por la Directiva CER, y, si así lo dispone el Estado miembro, las entidades identificadas como operadores de servicios esenciales de conformidad con la anterior Directiva NIS.

Entidades importantes, que son todas aquellas que pertenezcan a los sectores de alta criticidad u otros sectores críticos que no puedan considerarse como entidades esenciales.

Responsabilidad de los directivos
El articulado de la Directiva NIS2 exige a los Estados miembros que:

  • Garanticen que los órganos de dirección de las organizaciones aprueben las medidas de gestión de los riesgos de ciberseguridad.
  • Supervisen la aplicación de estas medidas.
  • Pueden llegar a ser incluso responsables de las infracciones previstas.

Además, los órganos de dirección están obligados a mantenerse actualizados en cuanto a formación se refiere, animandoles a instruir sus plantillas. De esta forma, los empleados adquirirán conocimientos y aptitudes suficientes para identificar los riesgos, evaluar prácticas de gestión y analizar su impacto en los servicios prestados por la organización.

Nuevos requisitos de seguridad
Las organizaciones esenciales e importantes estarán obligadas a adoptar medidas técnicas, operativas y organizativas para gestionar los riesgos de seguridad de las redes y sistemas de información.

La proporcionalidad se basa en la exposición al riesgo de la organización, tamaño y probabilidad y gravedad de posibles incidentes, incluido el impacto económico y social.

Las organizaciones deben adoptar un enfoque para estar preparadas frente a todo el espectro de incidentes y ser capaces de proteger los sistemas de red e información y el entorno físico de estos sistemas.

Cadena de suministro
Especial atención merece la cadena de suministro puesto que, la Directiva NIS2 pone énfasis en los riesgos provenientes de ésta y en su relación con proveedores situándolos en una posición estratégica de cara a la gestión de la ciberseguridad.

Las entidades esenciales e importantes deben evaluar y tener en cuenta la calidad general y resiliencia de los productos y servicios, las medidas para la gestión de riesgos de ciberseguridad integradas en ellos y las prácticas en materia de ciberseguridad de sus proveedores y prestadores de servicios, incluidos sus procedimientos de desarrollo seguro.

Deberán incorporar medidas para la gestión de riesgos en los acuerdos contractuales con sus proveedores y prestadores de servicios directos.

Informe de incidentes obligatorio
Al igual que dicta el Reglamento General de Protección de Datos, la Directiva NIS2 requiere a los operadores de servicios esenciales ya los proveedores de servicios digitales que informen sobre ciertos tipos de incidentes graves a las autoridades en un plazo de 72 horas. Asimismo, se establece la obligación de notificar a sus CSIRT de referencia sin demora indebida, los incidentes de seguridad que tengan un impacto significativo.

Se entiende por impactos significativos los que causen o puedan causar graves perturbaciones operativas de los servicios o pérdidas económicas en la entidad y afecten o puedan afectar a otras personas físicas o jurídicas.

El flujo de notificación que propone la Directiva NIS 2 para los incidentes significativos es el siguiente:

  1. Notificación inicial. Alerta temprana: en un plazo de 24 HORAS desde que se haya tenido constancia del incidente.
  2. Notificación intermedia: Pasadas 72 HORAS desde la detección del incidente, las entidades deberían actualizar el estado del incidente exponiendo una evaluación inicial.
  3. Notificación final: UN MES después de la notificación del incidente, las entidades deben presentar un informe final que recoja una descripción detallada del mismo (incluyendo gravedad, impacto, tipo de amenaza que haya provocado el incidente, medidas paliativas aplicadas y en curso y, en su caso, repercusiones transfronterizas).

Régimen sancionador
Los Estados miembros tendrán la posibilidad de imponer sanciones administrativas a las entidades que incumplan con los requisitos de la Directiva NIS 2, en especial los requisitos referidos a las medidas para la gestión de riesgos de ciberseguridad y las obligaciones de notificación.

Las sanciones tendrán que ser efectivas, proporcionales y disuasorias teniendo en cuenta las circunstancias en cada caso. A la hora de realizar la transposición y establecer el régimen sancionador los Estados miembros podrán tomar como referencia las siguientes cuantías en función del tipo de entidad:

Para las entidades esenciales, la sanción podrá ser, la mayor de:

  • 10.000.000 €.
  • Un máximo del 2% del volumen de negocio anual total a nivel mundial del ejercicio financiero
    anterior.

Para las entidades importantes, la sanción podrá ser, la mayor de:

  • 7.000.000 €.
  • Un máximo de un 1.4% del volumen de negocio anual total a nivel mundial del ejercicio financiero
    anterior.

Los Estados miembros tendrán como fecha límite el 17 de enero de 2025 para comunicar el régimen de sanciones aplicables por incumplimiento a la Comisión Europea.

Ciberseguridad también para pymes
El 43% de los ciberataques a nivel mundial se dirigen a pymes, un problema especialmente grave en el caso de países como España, donde más del 95% del tejido productivo está formado por pequeñas y medianas empresas.

Se estima que España sufre cerca de 30.000 ciberataques al año, con las pymes como eslabón más débil, ya que son el objetivo de siete de cada diez de estas agresiones.

La Unión Europea, consciente de esta situación, ha tenido en cuenta en la nueva Directiva las medianas empresas de sectores críticos, como entidades dentro de su alcance, así como determinadas pequeñas y microempresas que pongan de manifiesto su papel clave para la sociedad o la economía. En concreto, el alcance de la Directiva NIS2 respecto a este tamaño de empresas incluye:

  • Medianas empresas de los sectores privados indicados y también en los anexos I y II de la directiva: energía, transporte, banca, infraestructuras de mercados financieros, sector sanitario…
  • Pequeñas y microempresas claves que los Estados determinen de estos sectores. En particular: proveedores de confianza calificados, proveedores DNS, registros de nombres de dominio de primer nivel y entidades que proveen de servicios de registro de nombres de dominio.
  • Pymes de cadena de suministro, es decir, que ofrezcan servicios, sistemas o productos a entidades públicas y privadas en el ámbito de la NIS2. Por ejemplo: proveedores de servicios de almacenamiento y tratamiento de datos o proveedores de servicios de seguridad gestionados y desarrolladores de software.

Si bien las medidas para la gestión de los ciberriesgos que deben implantar las entidades obligadas por la NIS2 afectan a todas por igual, la directiva apunta como uno de los criterios de proporcionalidad en su aplicación el tamaño de las mismas. Además, deben adoptar una serie de prácticas básicas relacionadas con sus entornos tecnológicos, organización y personal.

Y si no soy una pyme ni esencial ni importante, ¿qué prácticas debo adoptar?
Siguiendo al considerante 89 de la NIS2, todas las pymes, afectadas o no, deberían adoptar las siguientes prácticas de ciberhigiene:

  • Implantar la gestión de identidades y acceso.
  • Concienciar a los usuarios.
  • Organizar formaciones para su personal.
  • Sensibilizar sobre las ciberamenazas, el phishing o las técnicas de ingeniería social.
  • Realizar actualizaciones de software.
  • Configurar de forma segura todos los dispositivos.
  • Segmentar la red.

Calendario
El pasado 17 de enero de 2023 se inició el período de transposición que finalizará el próximo 17 de octubre de 2024.

Con fecha límite de 17 de enero de 2025, los Estados miembros tendrán que haber comunicado el régimen sancionador aplicable por incumplimiento y, para el 17 de abril de 2025 tendrán que haber elaborado una lista de entidades esenciales e importantes.