¿Cómo NIS2 afectará a la Industria Europea?

La directiva europea NIS2 llega a Europa para establecer un alto estándar en la ciberseguridad de la unión.

De momento la directiva solo define un conjunto de pautas. Se espera que los Estados miembros la transpongan a las leyes locales antes del 17 de Octubre, y entonces tendremos detalles más concretos.

En este artículo, cubriremos cómo afectará NIS2 a los entornos industriales con lo que sabemos hasta ahora.

¿Por qué es necesaria la NIS2?

En los últimos años, hemos visto una creciente adopción de tecnologías en todos los aspectos de nuestra vida. Lo que antes estaba aislado ahora está conectado, y complementamos nuestros ordenadores personales con smartphones, smartwatches, televisores inteligentes y otros dispositivos inteligentes.

Los atacantes se han adaptado a este nuevo panorama. Los ciberataques aumentaron un 57% en 2023 y la tendencia continúa en 2024.

Y lo más preocupante, hemos visto ejemplos de ataques dirigidos a infraestructuras esenciales en los últimos años:

Y además, la relación entre los ciberataques y la guerra es más clara que nunca dada la situación geopolítica actual en Europa.

Con esto en mente, la directiva NIS2 tiene como objetivo aumentar la resiliencia cibernética de Europa y proteger sus servicios esenciales.

¿Cómo es la Directiva NIS2?

Para sorpresa de nadie, es un documento bastante aburrido de 60 páginas dividido en 46 artículos.

La mayoría de los artículos describen la nueva red de seguridad europea y el marco que los Estados Miembros deben implementar. Los requisitos que afectan a las empresas se describen principalmente en los artículos 21 y 23.

Sección              .Tema
Capítulo 1
Artículos 1-6
Disposiciones generales:
Cubre el alcance de la directiva y define términos comunes.
Capítulo 2
Artículos 7-13
Marcos coordinados de ciberseguridad:
Lista las nuevas entidades que cada Estado Miembro debe definir.
Capítulo 3
Artículos 14-19
Coordinación a nivel de la unión e internacional: Define las nuevas entidades que serán necesarias a nivel europeo.
Capítulo 4
Artículos 20-25
Medidas de gestión de riesgos de ciberseguridad y obligaciones de notificación:
⚠️ Proporciona un marco sobre qué medidas deberán implementar las organizaciones.
También cubre cómo se notificará los incidentes y el flujo de comunicación entre todas las entidades.
Capítulo 5
Artículos 26-28
Jurisdicción y registro:
Define quién es la autoridad ante la cual responderán las entidades. También agrega algunos requisitos para proveedores de DNS, registros de TLD y otras empresas de hosting.
Capítulo 6
Artículos 29-30
Intercambio de información:
Cubre cómo los Estados Miembros se comunicarán y coordinarán para señalar amenazas y aumentar la concienciación sobre seguridad.
Capítulo 7
Artículos 31-37
Supervisión y cumplimiento:
⚠️ Enumera cómo los Estados Miembros podrán auditar las medidas tomadas por las entidades y asegurarse de que se han implementado adecuadamente. Aquí, en el artículo 34, es donde se definen las sanciones.
Capítulos 8 y 9
Artículos 38-46
Actos delegados y de ejecución, y Disposiciones finales.

Como habrás notado, los requisitos de seguridad son solo una pequeña parte de la directiva. Gran parte de ella está dedicada a crear una densa red de entidades que trabajen juntas para monitorizar incidentes de seguridad, supervisar la implementación de medidas de seguridad y coordinar esfuerzos para adaptarse a nuevas amenazas.

Esta red puede dividirse en tres bloques. Aquí tienes una descripción resumida, consulta la directiva completa para obtener el contexto completo.

Diagrama de las entidades creadas por la Directiva NIS2, y quién las compone.

Cada Estado Miembro debe:

  • Transponer la directiva en leyes locales para el 17 de Octubre de 2024, definiendo los requisitos específicos que las entidades deben cumplir.
  • Definir las autoridades competentes que supervisarán y harán cumplir la directiva.
  • Definir los CSIRTs (Equipos de Respuesta a Incidentes de Seguridad Informática) que coordinarán la divulgación de vulnerabilidades. Pueden estar formados por autoridades competentes.
  • Nombrar un punto de contacto único.

El Grupo de Cooperación está formado por:

  • Representantes de los Estados Miembros, la comisión y la Agencia de la Unión Europea para la Ciberseguridad (ENISA).
  • Con la intervención de las Autoridades Europeas de Supervisión (ESA), las autoridades competentes, el Parlamento Europeo y representantes de las partes interesadas relevantes.

También se creará una Red de CSIRTs:

  • Para promover la cooperación entre los Estados Miembros mediante el intercambio de información, garantizando la interoperabilidad, implementando respuestas coordinadas, etc.
  • Está compuesta por representantes de los CSIRTs, la Comisión como observador, y asistida por ENISA.

¿A quién afecta la NIS2?

Las siguientes entidades se ven afectadas por la directiva NIS2 y deberán implementar requisitos de seguridad.

Empresas medianas y grandes en los siguientes segmentos.

Segmentos de alta criticidad:

  • ⚡️ Energía: Electricidad, calefacción y refrigeración urbana, petróleo, gas, hidrógeno.
  • 🚅 Transporte: Aéreo, ferroviario, marítimo, por carretera.
  • 🏦 Banca.
  • 📈 Infraestructuras de mercados financieros.
  • 🏥 Salud.
  • 💧 Agua potable.
  • 🚱 Aguas residuales.
  • 💻 Infraestructura digital.
  • 💁🏼 Gestión de servicios TIC (b2b).
  • 🏢 Administración pública.
  • 🚀 Espacio.

Otros sectores críticos:

  • 📨 Servicios postales y de mensajería.
  • 🚮 Gestión de residuos.
  • 🧪 Producción y distribución de productos químicos.
  • 🥘 Producción, procesamiento y distribución de alimentos.
  • 🏭 Manufactura: Dispositivos médicos y de diagnóstico in vitro, productos electrónicos e informáticos, equipos eléctricos, maquinaria y equipos, vehículos de motor, remolques y semirremolques, y otros equipos de transporte.
  • 💻 Proveedores digitales.
  • 👩🏽‍🔬 Investigación.

Empresas en segmentos determinados, independientemente de su tamaño:

  • Proveedores de redes y servicios de comunicaciones electrónicas.
  • Proveedores de servicios de confianza y registros de nombres de dominio.
  • Cualquier empresa que sea esencial de alguna manera:
    • Si son el único proveedor de un servicio esencial en un Estado Miembro.
    • Si una interrupción del servicio podría inducir un riesgo sistémico significativo.
  • La entidad es una entidad de administración pública.

Estas entidades también se clasifican según su importancia.

Las entidades esenciales son aquellas de los “segmentos de alta criticidad” y las “empresas independientemente de su tamaño”.

El resto se clasifica como entidades importantes.

Esta es una descripción resumida, consulta la directiva completa para obtener el contexto completo.

Multas de la NIS2

La NIS2 no proporciona muchos detalles sobre las multas que se pueden esperar. Solo define dos máximos y deja que los Estados Miembros proporcionen más detalles.

Entidades esenciales: multas administrativas de un máximo de 10.000.000 €, o el 2 % del volumen de negocios anual mundial total, lo que sea más alto.

Entidades importantes: multas administrativas de un máximo de 7.000.000 €, o el 1,4 % del volumen de negocios anual mundial total, lo que sea más alto.

Esto no significa que vayas a recibir una multa tan alta además de sufrir un ciberataque. La directiva se posiciona como un acompañante comprensivo, que tiene en cuenta tus circunstancias.

Mientras demuestres buena fe, implementando los requisitos de seguridad y notificando cualquier incidente tan pronto como seas consciente de él, deberías estar bien.

Impacto directo en las industrias afectadas

Ahora que entendemos el alcance completo de la directiva NIS2, pasemos a lo importante. ¿Qué significa esto para tu empresa?

Para los directivos

Uno de los mayores cambios de la NIS2 es que ahora el nivel de dirección de una empresa debe estar involucrado en las medidas de ciberseguridad que se adopten.

Esto simboliza el cambio de paradigma que está promoviendo la directiva: La ciberseguridad debe estar en el centro de cualquier entidad a partir de ahora, y la dirección debe liderar el cambio.

Departamentos de TI / TO

Para cualquier departamento de TI / TO que ya haya implementado medidas de ciberseguridad, no habrá grandes cambios. Los requisitos de la NIS2 son buenas prácticas de ciberseguridad básicas o de nivel medio.

Sin embargo, aquellas industrias que están comenzando su camino en ciberseguridad tendrán que hacer un esfuerzo.

Los requisitos a implementar son:

  • Políticas sobre análisis de riesgos y seguridad informática.
  • Gestión de incidentes.
  • Continuidad del negocio (copias de respaldo y recuperación ante desastres, gestión de crisis).
  • Seguridad en la adquisición, desarrollo y mantenimiento de redes y sistemas de TI, incluida la gestión de vulnerabilidades y divulgación.
  • Políticas y procedimientos para evaluar la efectividad de las medidas de gestión de riesgos de ciberseguridad.
  • Prácticas básicas de higiene cibernética y formación en ciberseguridad.
  • Políticas y procedimientos relacionados con el uso de la criptografía y, cuando sea apropiado, el cifrado.
  • Seguridad de los recursos humanos, políticas de control de acceso y gestión de activos.
  • Uso de autenticación multifactor o soluciones de autenticación continua, comunicaciones de voz, video y texto seguras, y sistemas de comunicación de emergencia seguros dentro de la entidad, cuando sea apropiado.
  • Aplicación de una evaluación de riesgos de seguridad coordinada.

La principal preocupación en este momento es cómo los Estados Miembros adaptarán estas pautas a requisitos concretos. ¿Optarán por una regulación fácil de cumplir o asumirán el reto y crearán una regulación integral? Con suerte, lo sabremos el 17 de Octubre.

Cadena de suministro

Uno de los nuevos aspectos de la NIS2 es asegurar la cadena de suministro, en lo que respecta a los proveedores de tecnología.

Esto significa asegurar la relación entre tu empresa y cualquiera que te proporcione servicios como hardware, servicios en la nube, dominios de internet, servicios de correo electrónico…

La cadena de suministro ha sido un objetivo importante para los atacantes. En la industria, uno de los principales vectores de ataque es el robo de identidad a través del correo electrónico. Por ejemplo, un atacante puede obtener acceso a una cuenta de correo electrónico, recopilar información durante un tiempo, y luego hacerse pasar por uno de tus proveedores y enviar facturas para que se paguen (a su cuenta bancaria).

Otro vector de ataque en aumento son las vulnerabilidades en los dispositivos de hardware. Cada vez más dispositivos en una planta de producción necesitan conexión a la red. Sin embargo, no todos los proveedores implementan las mejores prácticas de seguridad.

La intención de la directiva es positiva, pero esta parte tiene una descripción bastante amplia. Esperemos que las leyes locales delimiten adecuadamente este aspecto de la NIS2.

Notificación

El punto estrella de la NIS2 es la notificación de incidentes de seguridad. Como mencionamos antes, uno de los motivadores de las multas será no reportar un incidente de seguridad a tiempo.

La directiva pone el foco en coordinar a varias entidades locales para tener una visión global y ser proactivas en la detección de amenazas. Pero para lograr ese objetivo se necesita un “sistema de alerta temprana” basado en que las organizaciones reporten cada incidente de seguridad tan pronto como se descubra.

Las entidades estarán obligadas a notificar incidentes significativos a la autoridad competente, quien los enviará al CSIRT. Se considera significativo un incidente si ha causado o es capaz de causar una interrupción operativa grave o una pérdida financiera; o si afecta a personas físicas o jurídicas causando daños materiales o inmateriales.

El tiempo también será importante:

  • Los incidentes deben notificarse dentro de las 24 horas de ser detectados. En este informe inicial deberás incluir sospechas de que el incidente sea ilegal, malicioso o que tenga un impacto transfronterizo.
  • Deberás actualizar la información dentro de 72 horas con una evaluación inicial que incluya la gravedad del incidente, el impacto y los indicadores de compromiso.
  • También es posible que necesites proporcionar actualizaciones relevantes si lo solicita el CSIRT o la autoridad competente.
  • Se necesitará un informe final en el plazo de un mes con una descripción detallada del incidente, el tipo de amenaza o la causa raíz, las medidas de mitigación tomadas y el impacto transfronterizo.

La notificación es bastante concreta en la directiva NIS2, solo estamos esperando que las autoridades locales definan el formato y el método de comunicación de los informes.

Inspecciones

Por último, la directiva tiene en cuenta las inspecciones y auditorías, ya que ninguna norma vale si no se aplica adecuadamente.

Las autoridades competentes pueden realizar inspecciones in situ y auditorías de seguridad específicas, y pueden solicitar cualquier información y prueba de la implementación de políticas de ciberseguridad.

Conclusión

La directiva europea NIS2 es una regulación necesaria para garantizar la seguridad de los recursos esenciales en Europa.

Su alcance es ambicioso, ya que no solo se centra en los requisitos de seguridad, sino que también construye toda una red de entidades que protegerán a las organizaciones estratégicas.

Sin embargo, la naturaleza federada de la Unión Europea hace que la implementación sea un poco más desafiante. Los Estados Miembros ahora deben adaptar la directiva a las leyes locales, y no conoceremos los detalles concretos de la regulación hasta que lo hagan.

Esta incertidumbre no es deseable, sobre todo cuando hay multas tan altas en juego, pero ten en cuenta el carácter comprensivo de la directiva. Si te preocupa, empieza a implementar las mejores prácticas de ciberseguridad, demostrarás buena fe y estarás protegido.


Cumplimiento de NIS2 con Safetybits

La gestión de riesgos de Safetybits cubre el lado de la tecnología operativa de la directiva europea NIS2. Dado que la seguridad de OT es una parte importante de toda la directiva NIS2, tendrás una base sólida para empezar.