NIS2: la resiliencia de la UE pasa por la ciberseguridad del país

El uso de las tecnologías TIC está cada vez más extendido en la sociedad, y su impacto en las actividades económicas, en la prestación de servicios e incluso en el ejercicio de los derechos fundamentales es tangible y concreto. Los recientes escenarios de crisis globales, tanto pandémicas como geopolíticas, han contribuido además a una creciente necesidad de soberanía digital.

La Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, también conocida como “Network and Information Security (NIS) 2”, que reemplaza su primera versión de 2016, tiene como objetivo alcanzar un alto nivel de ciberseguridad común para todos los Estados miembros de la Unión Europea.

El objetivo es claro: garantizar, a través de la adopción de una normativa más avanzada y de aplicación homogénea, la resiliencia de todo el sistema de la UE, comenzando por el fortalecimiento colectivo de las defensas cibernéticas de cada uno de los Estados.

Los sujetos involucrados

Para implementar el proyecto de una defensa cibernética común europea, la Directiva identifica (y protege) a todos los sujetos públicos y privados cuyo involucramiento en un incidente cibernético podría poner en riesgo la estabilidad del sistema estatal y, en última instancia, de toda la Unión. La lista de los sujetos ya incluidos en la normativa anterior, en Italia definida por las disposiciones del llamado Perímetro de Seguridad Nacional Cibernética (PSNC), se amplía, aplicando la nueva normativa también a medianas empresas (según la definición de la Recomendación 2003/361/CE) cuyas actividades se desarrollen dentro de la Unión Europea y pertenezcan a los siguientes sectores:

• alta criticidad: energía, transporte, banca y mercados financieros, sector sanitario, agua (potable y aguas residuales), infraestructuras digitales, administración pública, espacio.
• otros sectores críticos: servicios postales y de mensajería, gestión de residuos, sector químico, sector alimentario, manufactura, servicios digitales, organizaciones de investigación.

Cada Estado miembro también puede decidir, a su discreción, incluir pequeñas o microempresas que operen en los sectores mencionados anteriormente, si se consideran críticas para la seguridad nacional.

Las medidas previstas

Los sujetos bajo la Directiva NIS2 están obligados a adoptar «medidas técnicas, operativas y organizativas adecuadas y proporcionales para gestionar los riesgos que afectan la seguridad de los sistemas informáticos y de red […], así como para prevenir o minimizar el impacto de los incidentes para los destinatarios de sus servicios y otros servicios». Además de este principio general, la Directiva establece los siguientes elementos:

• Implementación de diez medidas de seguridad mínimas (gestión de incidentes, continuidad del negocio, seguridad de la cadena de suministro, uso de criptografía, etc.);
• Establecimiento de plazos estrictos para informar de los incidentes a la Autoridad NIS competente (prealerta en 24 horas, notificación en 72 horas, y entrega del informe final del incidente en 1 mes);
• Ampliación de los tipos de controles que los Estados miembros pueden realizar para verificar la conformidad de los sujetos;
• Endurecimiento de las medidas ejecutivas, en particular de las sanciones administrativas económicas.

En el caso de sujetos especialmente críticos (excluyendo a la administración pública), la responsabilidad de garantizar el cumplimiento de la Directiva recae en los representantes legales, quienes enfrentan sanciones específicas en caso de incumplimiento.

La implementación en Italia

Para que la Directiva NIS2 pueda ser implementada dentro de los sistemas legales de los Estados miembros, es necesario que sea transpuesta mediante un acto legislativo específico antes del 17 de octubre de 2024.

En Italia, el esquema del Decreto Legislativo de implementación que adapta la NIS2 a nivel nacional ha sido recientemente aprobado por el Consejo de Ministros, con la opinión favorable del Parlamento, y está a la espera de ser publicado en el *Gazzetta Ufficiale della Repubblica*.

La norma, además de designar a la Agencia para la Ciberseguridad Nacional (ACN) y al Ministerio de Defensa como las Autoridades nacionales de gestión de crisis cibernéticas, introduce criterios de gradualidad temporal y proporcionalidad de las obligaciones, basados en el análisis de riesgos, que deberán cumplir tanto entidades privadas como administraciones públicas.

Finalmente, se prevé la activación de una plataforma digital a través de la cual los sujetos bajo la NIS2 estarán obligados a registrarse, proporcionando la información solicitada por la ACN. Esto permitirá la actualización y redacción (antes del 31 de marzo de cada año) del listado definitivo de los sujetos dentro del perímetro.

Seguridad a medida para empresas

Mashfrog, adoptando un enfoque holístico que combina Tech Law y Ciberseguridad, une una profunda comprensión de los requisitos normativos, de los marcos internacionales y de los estándares del sector con competencias avanzadas en la creación de soluciones tecnológicas a medida. Estas soluciones consideran el contexto operativo, el tamaño y los riesgos cibernéticos específicos de cada organización, permitiendo alcanzar un equilibrio óptimo entre protección y costos.

Poniendo en el centro la singularidad del negocio de cada cliente.

Para obtener más información sobre cómo Mashfrog puede ayudarte a implementar la Directiva NIS2, contáctanos haciendo clic aquí.