A finales de 2022, la Unión Europea (UE) adoptó formalmente la nueva Directiva de ciberseguridad 2022/2555 (Directiva NIS 2), destinada a sustituir y derogar la actual Directiva de la UE sobre seguridad de sistemas y redes de información (2016/1148, Directiva NIS). Esta última fue la primera legislación de dicho territorio en ciberseguridad, y si bien aumentó las capacidades de los Estados miembros en esta materia, su aplicación resultó difícil. Esto dio lugar a la fragmentación de las disposiciones a diferentes niveles en todo el mercado interior.
Para responder a las crecientes ciberamenazas que plantea la digitalización, la UE adoptó la Directiva NIS 2. El objetivo es alcanzar un nivel de ciberseguridad dentro de la UE más elevado que el que ha tenido en virtud de la Directiva NIS. También tiene por objeto promover una mayor armonización de las normas de ciberseguridad en todos los Estados miembros de la UE.
Dado que la implementación de la Directiva NIS resultó compleja para las empresas y entidades públicas, decidimos analizar la Directiva NIS 2 e identificar los retos potenciales asociados a la nueva normativa.
Así, las recomendaciones que se presentan a continuación se elaboraron sobre la base de un análisis de los reglamentos y la determinación de los problemas relacionados con la aplicación e implementación práctica de la Directiva NIS 2. Teniendo en cuenta a quién se dirige esta regulación, las recomendaciones se dividen en las dirigidas a las entidades empresariales y las dirigidas a los órganos administrativos que la aplican.
La ampliación de las entidades obligadas afectará a la calidad y precio de los servicios en la UE
Las recomendaciones ponen de relieve las cuestiones clave que pueden plantear un problema y que pueden resolverse en una fase legislativa avanzada de la aplicación de la Directiva NIS 2.
Entidades empresariales en NIS 2
Las recomendaciones para entidades empresariales son:
1.Concienciación legislativa. Un elemento clave para abordar los cambios en la ley es la concienciación sobre las próximas regulaciones a todos los niveles de la organización, tanto de dirección como de los empleados, cuyo trabajo se verá afectado por la próxima regulación. Actos legislativos como la Directiva NIS 2 (pero también la próxima Ley de Resiliencia Operativa Digital, DORA, y la Ley de Resiliencia Cibernética, CRA) no solo deberían ser un punto de interés para los departamentos legales, sino que, tal como se sugiere en la redacción de la propia Directiva NIS 2, también a nivel de gestión en todos los ámbitos pertinentes.
2.Foco en la certificación. Como se indica en la normativa (por ejemplo, la Directiva NIS 2 y la CRA), y también de acuerdo con las acciones tomadas por Enisa, la certificación de ciberseguridad se asume como la columna vertebral de todo el sistema y permitirá garantizar el cumplimiento normativo en algunos casos. Las empresas deben seguir de cerca el desarrollo de los sistemas de certificación y comenzar a prepararse para las certificaciones tan pronto como surja un procedimiento adecuado.
3.Cooperación sectorial. Debe llevarse a cabo una estrecha cooperación entre sectores afectados para desarrollar una posición unificada en términos de sistema de ciberseguridad. Tales posiciones colectivas no solo serán importantes, especialmente en el contexto de los procesos de aplicación en diferentes países, sino también necesarios para lograr un sistema de ciberseguridad que funcione. Teniendo en cuenta la próxima legislación en el ámbito de las nuevas tecnologías, también merece la pena presentar dictámenes como parte del proceso legislativo lo antes posible.
Autoridades
Las recomendaciones para las autoridades en cada Estado miembro son:
1.Criterios claros para evaluar componentes y aplicaciones críticas. Los organismos de la Administración Pública deben elaborar normas claras para determinar qué dispositivos o aplicaciones se consideran seguros en el sentido de la Directiva NIS 2. Esto acelerará las implementaciones y reducirá los costes para las entidades afectadas.
Se recomienda la publicación de una “lista blanca” de componentes reconocidos como seguros, junto con una indicación del sector y los servicios en los que pueden utilizarse dichos componentes.
Las autoridades deberían elaborar un modelo metodológico para el inventario de procesos y recursos TIC. El cumplimiento con dicho modelo debería garantizar la validez de la estimación del riesgo en el contexto de uso de un determinado componente o aplicación.
2.Cautela en la imposición de obligaciones estrictas a la pyme. Teniendo en cuenta la magnitud y el alcance de las obligaciones derivadas de la Directiva NIS 2, los Estados miembros deben reducir al mínimo las obligaciones potenciales impuestas a la pyme.
Las obligaciones impuestas a este sector que sean demasiado amplias podrían tener un efecto negativo, aumentando los costes para un empresario determinado y reduciendo su competitividad en relación con las entidades similares de otros países de la UE, no cubiertas por esa misma amplitud de obligaciones de la Directiva NIS 2.
3.Promover el uso de la certificación. La Directiva NIS 2 conlleva un aumento de los costes relacionados con las TIC. Una forma de reducirlos a nivel nacional es crear un sistema de certificación. Estos sistemas de certificación, bien definidos, pueden servir de modelo para desarrollar la certificación de la UE.
Las autoridades deberían asegurar el uso de la certificación dentro del país y garantizar el reconocimiento de certificaciones internacionales para componentes y aplicaciones.
4.Enfoque racional del sistema de ciberseguridad. La gama de tareas, responsabilidades y entidades involucradas en garantizar un enfoque racional de la ciberseguridad es muy amplia. La ampliación del catálogo de entidades obligadas a aplicar la Directiva NIS 2 afectará, probablemente, a la calidad y al precio de los servicios en la UE.
Aunque actualmente es difícil cuestionar el razonamiento detrás de la ampliación del catálogo de entidades y el alcance de los componentes y servicios cubiertos por los requisitos de la Directiva NIS 2, en nuestra opinión, la aplicación racional de dichos requisitos contribuirá a limitar el posible impacto negativo de esta regulación en la economía de la UE, cumpliendo al mismo tiempo normas estrictas de ciberseguridad. Puede lograrse un enfoque racional de la ciberseguridad definiendo con precisión qué entidades y en qué servicios deben aplicar normas de seguridad específicas.
Para ello, se deberían realizar las siguientes medidas:
- Promover la certificación armonizada en la UE y otorgarle el estatus adecuado para garantizar la seguridad de un producto/servicio determinado.
- Describir claramente los factores que deberían tenerse en cuenta al evaluar el riesgo en la cadena de suministro.
- Asegurar una diversidad de proveedores, haciendo posible tener una estrategia adecuada de múltiples proveedores para evitar o limitar cualquier dependencia importante de un solo proveedor.
