NIS2: las pymes también son importantes y esenciales (II)

Como continuación del anterior artículo en el que veíamos los sectores y tamaños de empresas a los que se aplicará la NIS2 cuando se publique su trasposición a la legislación española, vamos a ver la clasificación de las entidades según el régimen de supervisión que les aplica en esenciales e importantes y las obligaciones de notificación y aplicación de medidas que han de cumplir.

Entidades esenciales e importantes: cómo identificarse y qué régimen supervisión aplica respectivamente

El artículo 3 de la Directiva NIS2 indica los criterios para conocer si una entidad, de cualquiera de los tipos de los anexos I y II, es esencial o importante.

En general:

• Son entidades esenciales todas las grandes empresas del Anexo I y aquellas entidades del Anexo II que determinen los Estados. También, podrán ser entidades esenciales ciertas pymes de cualquiera de los anexos que determinen los Estados.
• Son entidades importantes las de cualquiera de los anexos que no sean esenciales y las entidades que determinen los Estados.

La mayoría de las entidades han de autoidentificarse como esenciales o importantes (los Estados podrán crear un autoregistro, Art. 3.4). Para las pequeñas y microempresas y ciertas entidades —proveedores únicos de un servicio esencial, cuyas perturbaciones puedan tener carácter transfronterizo o críticas a nivel nacional o regional—, además de las afectadas por la directiva CER, los OSE (Operadores de Servicios Esenciales véase la definición en estas FAQ) o las entidades públicas, serán los Estados quienes determinen si son esenciales o importantes.

Por otra parte, entidades esenciales e importantes estarán sujetas a un régimen distinto de supervisión por las autoridades competentes. 

• En el caso de las entidades esenciales (Art. 33) deberá ser proporcionado, efectivo y disuasorio, es decir, será a priori y a posteriori de los posibles incidentes y puede acarrear suspensiones o prohibiciones temporales y multas. La persona física responsable de la entidad esencial, o que actúe en su representación, podrá ser responsable por el incumplimiento.
• En el caso de entidades importantes, la supervisión será solo reactiva, es decir, a posteriori (Art. 34). En este caso, el régimen de supervisión, que será llevado a cabo por profesionales cualificados, podrá acarrear multas administrativas.

En ambos casos, el régimen de supervisión podrá contener, entre otras: inspecciones in situ, auditorías, análisis de seguridad específicos y solicitudes de información, acceso a datos o pruebas.

Obligaciones para entidades esenciales e importantes: medidas técnicas, operativas y de organización

Las entidades que se dediquen a las actividades mencionadas en los Anexos I y II estarán obligadas a cumplir la norma y en particular a tomar las medidas indicadas en los artículos 21 y 23, es decir, a gestionar su ciberseguridad en base a sus riesgos y a notificar incidentes.

El artículo 21.2 contiene un listado mínimo de medidas técnicas, operativas y de organización para gestionar los riesgos de seguridad de los sistemas y redes de información y el entorno físico de dichos sistemas, que han de utilizar las entidades esenciales e importantes en sus operaciones o en la prestación de sus servicios para prevenir o minimizar las repercusiones de los incidentes en los destinatarios de sus servicios o en servicios de terceros que dependan de ellos. Estas son las medidas indicadas como mínimas en el citado artículo.

Estas medidas serán siempre proporcionales a los riesgos y vulnerabilidades específicas y al tamaño de las entidades.

Obligaciones para entidades esenciales e importantes: notificación de incidentes significativos

El artículo 23, se refiere a las obligaciones de notificación de cualquier incidente significativo que es el que:

Se ha de notificar sin demora indebida a su CSIRT de referencia (equipo de respuesta a incidentes de seguridad informáticos) o en su caso a su autoridad competente (si hubiera otras normas sectoriales aplicables).

Estos CSIRT y autoridades se conocerán con la transposición de la norma a la legislación española.

• La notificación de estos incidentes ha de ser antes de 24h de que haya tenido constancia del mismo mediante una alerta temprana.
• Antes de 72h se ha de enviar una notificación del incidente actualizando la alerta y con una evaluación inicial indicando gravedad e impacto e IoC (indicadores de compromiso) si existen. Este plazo será de 24h para prestadores de servicios de confianza.
• Las autoridades podrán solicitar un informe intermedio y se ha de enviar un informe final al cabo de 1 mes, aunque no haya terminado el incidente.
• También, se notificará cuando proceda a los destinatarios de los servicios.

En estas notificaciones se ha de indicar cualquier información para determinar las repercusiones transfronterizas del incidente. El CSIRT si es un incidente transfronterizo o intersectorial informará al punto de contacto único a nivel nacional, en tiempo y forma pertinentes. Este punto de contacto se encargará de transmitir estas notificaciones a otros países o a otras autoridades de otros sectores. El punto de contacto único también se determinará en la transposición de la norma.

Y si no soy una pyme ni esencial ni importante, ¿qué prácticas he de seguir?

En particular, siguiendo el considerando 89 de la NIS2, las pymes, afectadas o no, deberían adoptar las siguientes prácticas de ciberhigiene:

• seguir los principios zero-trust o confianza cero,
• realizar actualizaciones de software,
• configurar de forma segura los dispositivos,
• segmentar la red,
• implantar la gestión de identidades y acceso,
• concienciar a los usuarios,
• organizar formaciones para su personal,
• sensibilizar sobre las ciberamenazas, phishing o las técnicas de ingeniería social.

Qué hacer mientras llega la transposición

Aún queda tiempo hasta el 18 de octubre de 2024, pero, mientras, podemos ir dando pasos para prepararnos para su llegada. Desde INCIBE te sugerimos una serie de herramientas que pueden ayudarte a tomar las medidas necesarias.

• Para evaluar las capacidades de tu empresa puedes utilizar la herramienta de autodiagnóstico o bien acceder a alguna convocatoria de la encuesta de ciberresiliencia dentro de los servicios a operadores de INCIBE-CERT.
• Para concienciar y formar a tu plantilla tienes cursos en línea, un kit de concienciación y juegos de rol en el apartado de formación. Si estás preparado, puedes pensar en participar en los ciberejercicios del apartado de servicios a operadores de INCIBE-CERT.
• Puedes informarte en una de las 12 TemáTICas y aplicar alguna de las más de 30 políticas concretas según los riesgos de tu empresa para responder a cada una de las medidas antes mencionadas.
• Como medida adicional puedes ponerte al día sobre cómo se notifican y gestionan actualmente los incidentes con la ‘Guía nacional de notificación y gestión de ciberincidentes’ y conocer el servicio de respuesta a incidentes de INCIBE-CERT.
• Suscríbete a los servicios de avisos y vulnerabilidades.
• Infórmate sobre otros servicios para operadores como monitorización de activos, detección de incidentes, information gathering, intercambio de ciberamenazas o soporte a crisis.

Recuerda que puedes contactar con nosotros a través de la Línea de Ayuda en Ciberseguridad de INCIBE (017), los canales de mensajería instantánea de WhatsApp (900 116 117) y Telegram (@INCIBE017), o el formulario de contacto (seleccionando la opción de usuario de empresa o profesional) que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.

Contenido realizado en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea (Next Generation).