NIS2: las pymes también son importantes y esenciales (I)
Con la digitalización, la seguridad y la resiliencia de las redes y los sistemas de información se hacen imprescindibles para mantener las actividades económicas y sociales de empresas y estados. Es por eso que la UE lleva tiempo desarrollando normativa y creando organismos de apoyo con el objetivo de resistir mejor los envites de todo tipo de incidentes que puedan comprometer su continuidad. Ya en 2016, la UE aprobó la Directiva NIS (UE 2016/1148) que en la legislación nacional se transpuso en el Real Decreto-Ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información. Este Real Decreto-Ley y su desarrollo posterior obligan al cumplimiento de medidas de ciberseguridad a empresas, que se designaron como Operadores de Servicios Esenciales (OSE), —entre otros: salud, transporte y energía—; o se consideraron Proveedores de Servicios Digitales, PSD — como motores de búsqueda en línea, mercados de Internet y servicios en la nube. Puedes ver en concreto de que empresas se trata en las FAQ sobre esta normativa.
Con el tiempo, se ha visto que la Directiva NIS tenía algunas carencias que daban poca uniformidad a la ciberseguridad y ciberresiliencia de la sociedad y los mercados digitales en la Unión. Por ello, en el marco de normas de la UE respecto a la ciberseguridad, en el 2022 se publicó una nueva versión de esta norma que la sustituye: la Directiva NIS2.
La Directiva NIS2
La Directiva UE 2022/2555, de 14 de diciembre, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión […] o NIS2, ha de trasponerse a la legislación española antes de 17 de octubre de 2024.
Con respecto a la anterior, la NIS2 amplía el número de sectores y el tamaño de las entidades que son consideradas entidades de sectores críticos y de alta criticidad, refuerza los requisitos de seguridad que han de cumplir las entidades afectadas, precisa el proceso de notificación de incidentes, aborda la seguridad en la cadena de suministro y las relaciones con proveedores, refuerza el intercambio de información sobre incidentes y la divulgación de vulnerabilidades y establece una red europea de soporte de crisis (EU-CYCLONe). En algunos casos, se apoya en otras nuevas directivas que son más ambiciosas y estrictas para determinados sectores, como por ejemplo el DORA en el sector financiero o CER para entidades críticas, que en la legislación española vigente se denominan operadores críticos (en las citadas FAQ tienes una definición de este término).
Medianas empresas y algunas pequeñas o microempresas
Con carácter general, la directiva aplica a entidades públicas o privadas, consideradas medianas o grandes empresas (Art. 2.1), que presten sus servicios o lleven a cabo sus actividades —de los tipos listados en los anexos I y II— en la Unión, es decir, en lo que respecta a entidades privadas, empresas de más de 50 empleados o con un volumen de negocio mayor de 10 millones de euros, incluidas aquellas que puedan tener inversiones públicas.
Imagen de https://nis2directive.eu/
Con carácter particular, también aplica a entidades con independencia de su tamaño, es decir, también a pequeñas y microempresas que pongan de manifiesto su papel clave para la sociedad, la economía o para determinados sectores o tipos de servicios. Entidades, por ejemplo, que sean proveedores únicos de un servicio esencial o si una perturbación en ellas puede tener repercusiones o riesgos significativos de carácter transfronterizo, los prestadores de servicio de registros de dominio y los prestadores cualificados de servicios de confianza. Están incluidas en este grupo las entidades críticas, según la ley PIC (Ley 8/2011), y los mencionados OSE (Operadores de Servicios Esenciales) de la NIS1.
Sectores de alta criticidad y otros sectores críticos
Los anexos I y II de la directiva contienen una relación de los tipos de empresas de cada sector que han de cumplir con las medidas que esta estipula. El anexo I son tipos de entidades de sectores de alta criticidad y el anexo II de otros sectores críticos. Con respecto a la anterior directiva, todo el anexo II son nuevos tipos de entidades y en el anexo I se añaden algunos sectores y subsectores.
El anexo I comprende los tipos de entidades consideradas de alta criticidad de varios sectores. La mayoría de estos tipos de entidades coinciden con los de la nueva Directiva CER, relativa a la ciberresiliencia de las entidades críticas que sustituye a la Directiva 2008/114 CE y que también ha de trasponerse antes del 17 de octubre de 2024. Algunos de estos, ya estaban en la NIS1, como: energía, transporte, banca, infraestructuras de mercados financieros, sector sanitario, agua potable, espacio e infraestructura digital. Otros, son nuevos, como: aguas residuales, gestión de servicios TIC (B2B) o entidades de las AAPP (con exclusión del poder judicial, los parlamentos y los bancos centrales).
Son novedades en este anexo I con respecto a la anterior normativa los subsectores de sistemas urbanos de calefacción y refrigeración, y el subsector de hidrógeno del sector energía. Los subsectores de electricidad y crudo tienen, además, tipos nuevos. El de electricidad se amplía con productores, operadores NEMO, participantes en el mercado y operadores de punto de recarga. El subsector del crudo se amplía con entidades centrales de almacenamiento.
También son nuevos en el sector sanitario los subsectores de laboratorios, I+D y fabricación farmacéutica base y de productos sanitarios en situaciones de emergencia.
En el sector de infraestructura digital incluye modificaciones con respecto a la NIS1, pues incluye, ahora también, a proveedores de centros de datos, de servicios cloud (antes considerados PSD), de distribución de contenidos, servcios de confianza, redes públicas y servicios de comunicaciones para el público.
El anexo II comprende los tipos de entidades considerados de otros sectores críticos. Todo este anexo es nuevo a excepción de los PSD, los proveedores de servicios digitales. En la anterior legislación, este sector comprendía a los prestadores de servicios cloud, que como hemos visto, está ahora en el anexo I. Este sector comprende en la NIS2 a las plataformas de redes sociales, que es una novedad, además de los proveedores de mercados en línea y los motores de búsqueda en línea.
El resto de sectores del anexo II son distintos tipos de entidades dedicadas a servicios postales y de mensajería; gestión de residuos; organismos de investigación, fabricación, producción y distribución de sustancias y mezclas químicas; producción, transformación y distribución de alimentos; y fabricación de material eléctrico, maquinaria y equipo ncop., vehículos de motor, remolques y semirremolques, y otro material de transporte.
Si perteneces a uno de estos sectores lee con detenimiento estos anexos para ver si te ves reflejado en alguno de los tipos allí mencionados.
En el próximo post de esta serie, veremos las diferencias entre entidades importantes y esenciales y cómo identificarse en uno u otro grupo, qué medidas de ciberseguridad y ciberresiliencia hay que implementar, así como qué régimen de supervisión se va a aplicar por las autoridades competentes en cada caso.
Recuerda que puedes contactar con nosotros a través de la Línea de Ayuda en Ciberseguridad de INCIBE (017), los canales de mensajería instantánea de WhatsApp (900 116 117) y Telegram (@INCIBE017), o el formulario de contacto (seleccionando la opción de usuario de empresa o profesional) que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.