NIS2 y Cbw: Conceptos Básicos y Medidas para Cumplirlos

La Directiva NIS2 introduce medidas de cumplimiento exhaustivas para mejorar la ciberseguridad y la resiliencia de los servicios esenciales en la UE. Estas medidas son fundamentales para que las organizaciones se adapten a las crecientes ciberamenazas. La NIS2 sustituye a la Directiva NIS original y amplía su ámbito de aplicación al someter a más sectores a estrictas normas de seguridad e información. La Directiva es una respuesta a las crecientes amenazas globales, como las pandemias, los conflictos geopolíticos y el cambio climático, y subraya la necesidad de un enfoque armonizado de la ciberseguridad en Europa.

En los Países Bajos, la Directiva se aplica en la Ley de Ciberseguridad (Cbw), que introduce nuevas obligaciones como el registro, el deber de diligencia y el deber de informar. Las organizaciones deben prepararse, ya que la directiva entrará en vigor el 17 de octubre de 2024. Su incumplimiento podría acarrear cuantiosas multas y otras sanciones, y las entidades clave serán objeto de un seguimiento proactivo. La aplicación requiere un enfoque estratégico, y las organizaciones deberán evaluar y reforzar sus medidas de ciberseguridad.

¿Cuáles Son las Medidas de Cumplimiento de la NIS2?

La directiva NIS2, adoptada por la Unión Europea, es una versión actualizada y ampliada de la directiva NIS original, cuyo objetivo es mejorar la ciberseguridad y la resistencia de los servicios esenciales en los Estados miembros de la UE. Las medidas de cumplimiento del NIS2 incluyen obligaciones como el registro, el deber de diligencia y la notificación de incidentes para reforzar la ciberseguridad de las organizaciones. Esta directiva amplía el ámbito de aplicación incluyendo más sectores y establece normas más estrictas para la seguridad y la notificación de incidentes. La directiva se está incorporando actualmente a la legislación neerlandesa.

La razón de ser de la Directiva NIS2 radica en los recientes acontecimientos mundiales, como la pandemia del COVID-19, la guerra en Ucrania, el aumento de las ciberamenazas y el impacto del cambio climático, que ejercen presión sobre la seguridad de la sociedad y la economía. La Directiva pretende reforzar la resiliencia digital y económica de los Estados miembros de la UE en respuesta a estos retos.

La Directiva NIS2 se centra en la reducción de los riesgos que amenazan a los sistemas de redes e información, especialmente en el ámbito de la ciberseguridad. Esto contribuye a una mayor armonización europea y a un nivel más elevado de ciberseguridad para las empresas y organizaciones de la UE. La Directiva sustituye a la primera Directiva NIS, que en los Países Bajos se incluyó en la Ley de Seguridad de Redes y Sistemas de Información (Wbni) en 2016. En los Países Bajos, la Directiva NIS2 se traduce en la Ley de Ciberseguridad (Cbw), que sustituye a la Wbni.

A Se han establecido una serie de obligaciones (holandesas) en las directivas NIS2 y CER. Las organizaciones cubiertas por la directiva NIS2 deben inscribirse en un registro de entidades. Este registro, gestionado por el Centro Nacional de Ciberseguridad (NCSC), ofrece una panorámica europea de todas las entidades cubiertas por la directiva.

La Directiva NIS2 introduce un deber de diligencia que obliga a las organizaciones a realizar evaluaciones de riesgos y adoptar las medidas adecuadas para proteger sus servicios y sistemas en función de dichas evaluaciones. Los miembros de los consejos de administración de estas organizaciones deben aprobar estas medidas y supervisar su aplicación, para lo cual también deben recibir formación.

Además, la Directiva NIS2 establece un requisito de notificación, que obliga a las organizaciones a comunicar a un regulador, en un plazo de 24 horas, los incidentes que puedan interrumpir la continuidad de los servicios esenciales. Los incidentes cibernéticos también deben notificarse al Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT), que puede prestar apoyo. Habrá un punto central de notificación de informes a través del NCSC.

Por último, las organizaciones cubiertas por la Directiva NIS2 estarán sujetas a supervisión. Se trata de comprobar si cumplen con sus obligaciones, como el deber de diligencia y la notificación. Actualmente, se está determinando qué sectores estarán sujetos a qué reguladores específicos.

¿A quién se aplica la Directiva NIS2?

¿Qué son sectores altamente críticos, otros sectores críticos, grandes organizaciones, medianas organizaciones, entidades esenciales, entidades importantes y cuáles son las excepciones a la regla? Te lo explicamos aquí. Para comprobar directamente por ti mismo si tu organización está incluida en el NIS2 y en qué categoría, puedes utilizar el herramienta de autoevaluación NIS2 del gobierno central (neerlandés). Si tienes inclinación visual, descarga aquí la hoja informativa del gobierno (neerlandés) sobre el registro obligatorio con un diagrama de flujo para determinar si tu organización debe cumplir la normativa. La siguiente imagen procede de la página web del Gobierno Hoja informativa sobre la Ley de Ciberseguridad (neerlandés) y ofrece una buena presentación visual de lo que se trata a continuación.

Visión general de sectores, entidades y criterios. FUENTE (neerlandés)

Para determinar si una organización entra en el ámbito de aplicación de la Directiva NIS2, el Gobierno, en primer lugar utiliza una distinción (holandesa) entre sectores altamente críticos y otros sectores críticos. A continuación, en función del tamaño de la organización, se determina si una organización entra dentro de la categoría de entidad esencial o de entidad importante.

Sectores (altamente) críticos

Los sectores altamente críticos del Anexo 1 son los siguientes:

• Energía
• Transporte
• Banca
• Infraestructura de los Mercados financieros
• Sanidad
• Agua Potable
• Infraestructura Digital
• Gestores de Servicios TIC
• Aguas residuales
• Servicios Gubernamentales
• Autoridades Locales
• Espacio

Otros sectores críticos El Anexo 2 consta de los siguientes sectores:

• Proveedores Digitales
• Servicios postales y de mensajería
• Gestión de residuos
• Productos alimenticios
• Productos químicos
• Investigación
• Fabricación

¿Su empresa pertenece a un sector de alta criticidad u otro sector crítico? Entonces, podría necesitar cumplir con la directiva NIS2. En función del tamaño de la organización, usted lo determinará definitivamente, aunque puede haber excepciones.

¿Su organización está incluida en NIS2?

En función del tamaño de la organización, se determinará si ésta es esencial o importante. Aunque aún no se ha determinado todo, la principal diferencia es que las organizaciones esenciales estarán sujetas a una supervisión activa, mientras que las entidades importantes estarán sometidas a una supervisión retrospectiva si se justifica. En cualquier caso, eso significa que debe ponerse manos a la obra si entra en el ámbito de aplicación de la directiva NIS2.

¿Qué es una grande y mediana empresa?

Las grandes organizaciones tienen: 1) al menos 250 empleados o 2) un volumen de negocios anual superior a 50 millones de euros y un balance general superior a 43 millones de euros.

Una organización mediana tiene: 1) al menos 50 empleados o 2) un volumen de negocio anual superior a 10 millones de euros y un balance general superior a 10 millones de euros.

A continuación, los sectores se utilizan para determinar si una organización es esencial o importante. Existen algunas excepciones a las normas anteriores. Las siguientes organizaciones están siempre cubiertas por la Ley de Ciberseguridad: sector gubernamental, proveedores de servicios de confianza, registros de nombres de dominio de nivel superior, proveedores de servicios DNS, proveedores de servicios de registro de nombres de dominio y proveedores de redes y servicios públicos de comunicación electrónica. Además, un ministro del ramo puede designar a una empresa más pequeña para que quede cubierta por la Ley de Ciberseguridad.

¿Esencial o importante?

Las grandes organizaciones de uno de los sectores enumerados en el Anexo 1 (sectores altamente críticos) son entidades esenciales. Las excepciones que se acaban de mencionar, como la administración pública, siempre entran dentro de las entidades esenciales. Las organizaciones clasificadas como ‘entidad crítica’ en virtud de la Directiva CER también son entidades esenciales.

El resto de organizaciones se clasifican como organizaciones clave. Se trata, por lo tanto, de organizaciones medianas que pertenecen a un sector del Anexo 1 (muy crítico), y de grandes y medianas empresas que pertenecen a un sector del Anexo 2 (otros sectores críticos).

¿Cuándo entra en vigor la Ley de Ciberseguridad?

La directiva NIS2 fue adoptada por la Unión Europea a finales de 2022. La UE ha fijado como fecha límite para todos los Estados miembros el 17 de octubre de 2024. Algunos Estados miembros, como Alemania, afirman que cumplirán esta fecha. Sin embargo, el gobierno neerlandés ya indicó en enero que no iba a cumplir este plazo. D. Yesilgöz-Zegerius, Ministro de Justicia y Seguridad, escribió en una carta a la Cámara (en neerlandés): “Mi objetivo es presentar posteriormente los proyectos de ley a tu Cámara en otoño de este año”.

Sin embargo, el hecho de que el Gobierno no vaya a cumplir el plazo no significa que su organización no deba estar preparada. El Ministro también indicó que una preparación temprana es crucial, dada la enorme escasez de especialistas en ciberseguridad. Hay otro punto extremadamente importante a tener en cuenta aquí: las organizaciones de otros Estados miembros que ya cumplen la normativa pueden ya exigir el cumplimiento de NIS2. Es probable que Bélgica y Alemania cumplan con el plazo, y estos son precisamente los países exportadores más importantes para los Países Bajos.

En resumen, ¡aténgase a la fecha límite del 17 de octubre!. En el momento de escribir estas líneas, solo quedan dos meses para que su organización cumpla con todos los requisitos de la Directiva NIS2. No hay razón para preocuparse todavía, pero es esencial empezar ayer. Estaremos encantados de ayudarle, junto con nuestra red de colaboradores.

Consecuencias en caso de incumplimiento

Aparte de la posible pérdida de negocio, también puede enfrentarse a importantes multas si incumple la normativa. Para las entidades esenciales, es probable que esto salga pronto a la luz, ya que existen controles previos. En el caso de las entidades importantes, a menudo esto solo se descubre después de los hechos, lo cual es quizás mucho peor, ya que ya se habrá producido un incidente de ciberseguridad que provoque una auditoría. Las organizaciones que no cumplan con las medidas de conformidad con NIS2 se enfrentan a multas importantes y riesgos operativos.

Además de que la ciberseguridad o el orden deben estar en orden desde el punto de vista de la responsabilidad, una organización también puede enfrentarse a multas elevadas. El Capítulo VII, Artículo 34 de la Directiva NIS2 menciona las multas:

• “No inferior a 10 000 000 € o no inferior al 2% del volumen de negocios total anual a nivel mundial en el ejercicio precedente de la empresa a la que pertenece la entidad esencial, si esta cifra es superior”.

Y

• “con un importe máximo de al menos 7 000 000 € o al menos el 1,4% del volumen de negocios total anual a nivel mundial en el ejercicio anterior de la empresa a la que pertenece la entidad clave, si este importe es superior”.

A continuación, se describen otros instrumentos de aplicación, algunos de ellos de gran alcance, que el regulador puede utilizar en caso de incumplimiento de la legislación.

Pasos concretos hacia el cumplimiento

Más arriba hemos mencionado brevemente las cuatro obligaciones prescritas por la Ley de Ciberseguridad: Deber de Registro, Deber de Información, Supervisión y la más importante: Deber de diligencia.

Requisitos de inscripción

Utilizando la información anterior, determina si tu organización está cubierta por la Ley de Ciberseguridad. El gobierno La herramienta de autoevaluación (en neerlandés) también puede ayudar en este sentido. El Centro Nacional de Ciberseguridad (NCSC) está trabajando actualmente en un sistema de registro en línea en el que las organizaciones puedan inscribirse como entidades NIS2. Esto también proporcionará una visión general europea de las entidades NIS2.

Deber de denuncia

El NCSC también está creando un punto central de comunicación de denuncias. Esto permitirá a las organizaciones notificar fácilmente los incidentes tanto al regulador como al Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT), que ofrece a las organizaciones apoyo y asesoramiento en caso de incidente.

¿Cuándo denunciar?

Los incidentes significativos deben comunicarse en un plazo de 24 horas. Un incidente lo es, según la Ley de Ciberseguridad, significativa si:

1. haya causado o pueda causar una grave perturbación operativa de los servicios o pérdidas financieras a la entidad en cuestión; o
2. afectó o puede afectar a otras entidades causando daños materiales o inmateriales significativos

Proceso de notificación

Proceso de elaboración de informes. SOURCE (Holandés)

1. En un plazo de 24 horas, debe emitirse una alerta temprana indicando si se trata de un incidente (malicioso) con un impacto potencial (significativo).
2. En un plazo de 72 horas, debe elaborarse un informe oficial con la evaluación del incidente, el impacto y los IoCs (Indicadores de Compromiso, que describen indicios y pruebas de incidentes).
3. Podrá solicitarse un informe provisional de situación a petición del CSIRT o de la autoridad competente pertinente.
4. Debe elaborarse un informe final en el plazo de un mes a partir del incidente. Si el incidente sigue en curso después de un mes, bastará con un informe de situación. El informe final se elaborará más adelante.

Supervisión

Las entidades esenciales están sujetas a una supervisión proactiva, es decir, incluso cuando no hay incidentes. Para las entidades clave, esta supervisión tiene lugar a posteriori, después de un incidente. Las herramientas que los reguladores pueden utilizar para las entidades clave son: responsable de control, escáner de seguridad, auditoría de seguridad, revelación de infracciones, instrucción vinculante, orden en virtud de una orden administrativa, solicitud de suspensión de certificación o licencia, solicitud de suspensión de miembros del consejo de administración y multa administrativa.

Las entidades importantes pueden enfrentarse a un escáner de seguridad, una auditoría de seguridad, una infracción de divulgación, una designación vinculante, una orden administrativa y una multa administrativa.

Deber de diligencia

El último es el criterio más importante: el deber de diligencia. Esto es lo que tienes que trabajar con tu organización. Esto es lo mínimo que debe regularse. Además, puede haber normas y marcos adicionales para sectores específicos, como la sanidad o la administración. vBoxx estará encantado de ayudarte a recorrer tu organización para descubrir qué es lo que hay que hacer específicamente. Lo recibirás posteriormente en un informe. Puedes solicítanos nuestro escáner gratuito NIS2 y luego podrás utilizar nuestra amplia red de colaboradores para obtener ayuda en el cumplimiento de cada medida.

También puedes encontrar mucha información útil y descripciones y pasos detallados de estas medidas en Sitio web del Centro de Confianza Digital (neerlandés) del Ministerio de Economía y Clima. La información que figura a continuación sobre las medidas también procede en gran medida de este sitio web.

Próximos pasos

Hay muchas facetas implicadas en el cumplimiento de la nueva Ley de Ciberseguridad. Muchos de los sistemas básicos pueden ser adoptados y proporcionados por vBoxx. Piense en almacenamiento en la nube, correo electrónico, calendarios, videollamadas, gestión de contraseñas, servidores, copias de seguridad y mucho más. Junto con nuestra red de socios, se pueden implementar muchas medidas.

Nuestro socio  GartSolutions es un socio informático especializado en la configuración de infraestructuras seguras y resistentes, migración a la nube, DevOPS, consultoría informática y otras soluciones para el cumplimiento de NIS2.

Para sistemas y problemas complejos, están disponibles para compartir contigo sus 15 años de experiencia. Combinado con los servicios y la infraestructura de vBoxx, esto asegura una solución integral para las áreas más críticas de tu organización.

Vamos a pensar juntos y planificar el escaner de NIS2. Así podremos identificar soluciones adecuadas y los socios que pueden apoyarnos en el proceso. ¡Totalmente gratis y sin compromiso, por supuesto!

También mira el seminario web que impartimos sobre la NIS2 y, en particular, la medida 7: Seguridad de la cadena de suministro. O lee la entrada del blog sobre la medida 7.