Cumpliendo con la NIS2: recursos y servicios para la pyme
Debido al incremento y diversidad de los ciberataques, hace unos años, en 2016, la Unión Europea publicó la Directiva NIS (UE 2016/1148), destinada a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión. En ella se identificaban los sectores que soportan los servicios esenciales para la sociedad y la economía. Esta directiva se traspuso a la normativa española en el Real Decreto-ley 12/2018, desarrollada posteriormente en el Real Decreto 43/2021 (revisa nuestras FAQ sobre estas leyes).
La normativa española que traspuso la NIS extendió los 7 sectores de esta para hacerlos coincidir con los de la Ley PIC, de protección de Infraestructuras críticas. En la legislación española, como resultado, son 12 los sectores de los operadores de servicios esenciales (OSE): administración, espacio, industria nuclear, industria química, instalaciones de investigación, agua, energía, salud, TIC (tecnologías de la información y la comunicación), transporte, alimentación y sistema financiero y tributario. Además, están en el ámbito del Real Decreto-ley 12/2018 los proveedores de servicios digitales (marketplaces, motores de búsqueda y proveedores cloud).
Consulta este formulario de autoevaluación para PSD Real Decreto-ley 12/2018 si crees que tu empresa es proveedora de servicios digitales y para verificar tu cumplimiento.
Los operadores de servicios esenciales y proveedores de servicios digitales están desde entonces obligados a tomar medidas técnicas, operativas y organizacionales para mejorar su ciberseguridad, así como a notificar incidentes siguiendo las directrices de las autoridades competentes en cada sector. Para estos operadores, en el ámbito privado, el CERT de referencia es INCIBE-CERT.
En 2023, la Unión Europea publicó una nueva directiva, la NIS2 (UE 2022/2555), que como contábamos en «NIS2: las pymes también son importantes y esenciales (I)» sustituye a la normativa anterior y extiende el número de sectores a 18 aplicando en general a entidades públicas y privadas, medianas y grandes, y a algunas micro y pequeñas empresas que los Estados podrán determinar por su criticidad. En paralelo, también publicó la Directiva CER (UE 2022/2557) sobre resiliencia de entidades críticas. Ambas han de trasponerse antes del 17 de octubre de 2024.
Para saber los sectores, subsectores y actividades concretas que se verán afectadas tendremos que esperar a la trasposición, ya que esta podría ampliar el ámbito indicado en la directiva.
La NIS2, como contábamos en «NIS2: las pymes también son importantes y esenciales (II)», en su artículo 21.2 incluye 10 medidas técnicas, operativas y organizativas mínimas que estas entidades deben cumplir para gestionar sus riesgos de ciberseguridad, y en su artículo 23 indica el procedimiento que han de seguir para notificar incidentes significativos.
La siguiente tabla muestra la correspondencia de los servicios de INCIBE-CERT a operadores con estos dos artículos de la directiva. Todos los servicios son gratuitos, pero para acceder a algunos tendrás que firmar previamente un acuerdo de confidencialidad o NDA (Non Disclosure Agreement).
Consulta el espacio de “Sectores estratégicos” con noticias, artículos y avisos específicos para cada sector y las FAQ NIS2 donde iremos resolviendo las dudas más frecuentes sobre la directiva.
No esperes a la trasposición y comienza a preparar tu empresa para su cumplimiento. En una sociedad digital, tu ciberseguridad es la de todos. Revisa los recursos y servicios incluidos en la TemáTICa «Cumpliendo con la NIS2». Están organizados para ayudarte a cumplir cada una de las medidas indicadas en los artículos 21 y 23 de la directiva.
Recuerda que puedes contactar con nosotros a través de la Línea de Ayuda en Ciberseguridad de INCIBE (017), los canales de mensajería instantánea de WhatsApp (900 116 117) y Telegram (@INCIBE017), o el formulario de contacto (seleccionando la opción de usuario de empresa o profesional) que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.