España refuerza la ciberseguridad con NIS2

NIS2, la Directiva de Seguridad de Red e Información 2 de la Unión Europea, ha sido transpuesta a la legislación española a través del anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, aprobado recientemente por el Consejo de Ministros. Esta medida urgente actualiza la normativa de 2016 y establece un marco jurídico unificado para proteger los sistemas de redes e información, así como a sus usuarios, frente a incidentes y ciberamenazas en sectores críticos.

La NIS2 impone obligaciones legales a sectores esenciales y servicios digitales, con el objetivo de fortalecer tanto la ciberseguridad como la resiliencia. A diferencia de la regulación NIST CSF 2.0, que es voluntaria y flexible, la NIS2 tiene un enfoque específico para la UE y establece requisitos obligatorios para las entidades públicas y privadas en áreas de alta criticidad como energía, transporte, banca, sanidad, agua, infraestructuras digitales y servicios tecnológicos.

5 claves de NIS2

Evolutio ha analizado los cinco puntos clave de esta nueva regulación y su impacto en las estrategias de ciberdefensa de las organizaciones:

1. Identificación de Entidades Esenciales e Importantes: La NIS2 afecta a entidades con residencia fiscal en España o que ofrecen servicios en el territorio. Estas entidades, que operan en sectores críticos, deben ser identificadas y gestionadas para enfrentar el panorama de ciberamenazas. En España, se estima que 33.072 empresas con más de 50 empleados estarán sujetas a esta normativa. Los estados de la UE tienen hasta el 17 de abril de 2025 para elaborar un listado de estas entidades, que deberá revisarse cada dos años.
2. Planificación y Medidas Proporcionales: Las entidades esenciales e importantes deben implementar medidas de gestión de riesgos en sus redes, sistemas de información y entornos físicos. Esto incluye políticas de seguridad, análisis de amenazas, procedimientos de detección y respuesta, planes de crisis y continuidad, seguridad en las relaciones con proveedores, escaneo de vulnerabilidades y programas de formación continua. Contar con expertos en seguridad y una propuesta amplia de ciberseguridad aumentará la confianza digital de una empresa.

Identificar las entidades esenciales, establecer medidas adecuadas y proporcionales y gestionar los riesgos de la cadena de suministro, entre las claves de la nueva normativa NIS2

1. Gestión de Riesgos de la Cadena de Suministro: La NIS2 también aborda la seguridad en la cadena de suministro, un área que ha visto un aumento en los ciberataques. Las entidades esenciales deben realizar acuerdos contractuales con sus proveedores para garantizar la seguridad y resiliencia de los productos y servicios contratados. Las organizaciones necesitan protección avanzada de datos sensibles, mayor visibilidad y control de comportamientos, y soluciones escalables y adaptadas.
2. Responsabilidad Interna: La alta dirección de las entidades esenciales e importantes será responsable de aprobar y supervisar las medidas de ciberseguridad. Esto incluye adquirir conocimientos en gestión de riesgos de ciberseguridad y proporcionar formación regular a todos los empleados. Las entidades deben gestionar sus ciber riesgos mediante auditorías y mecanismos de control. La implementación de la NIS2 ha aumentado el gasto en ciberseguridad en la UE, con la seguridad de la información representando el 9% de las inversiones de TI en 2023.
3. Notificación de Incidentes Significativos: La NIS2 establece la obligación de notificar cualquier incidente, ciberamenaza o «cuasiincidente» a los equipos de ciberseguridad y gestión de incidentes españoles (CSIRT) o a la autoridad competente. Las entidades tienen hasta 24 horas para lanzar una alerta temprana y 72 horas para emitir una notificación del incidente y una evaluación inicial. Un informe final debe presentarse un mes después de la primera notificación. Contar con capacidades de investigación y detección de amenazas ayudará a las organizaciones a adelantarse a los cibercriminales.