Con el auge de las transacciones a distancia y el teletrabajo, el contexto es hoy, más que nunca, propicio a las ciberamenazas. En la edición de 2022 de su «Panorama de la menace informatique» (Panorama de la amenaza informática), la ANSSI constata un alza del 37 % en el número de intrusiones registradas en sistemas informáticos en 2021 con respecto a 2020. Ante el aumento de los riesgos, la Comisión Europea ha decidido revisar la directiva NIS de 2016 (el primer texto europeo de regulación de la ciberseguridad) para ampliar el alcance de las organizaciones afectadas y armonizar aún mejor el marco normativo de los Estados miembros. Esta revisión, aprobada en junio de 2022, es la directiva NIS2.
NIS1, un texto base en materia de ciberseguridad y reglamentación
La directiva NIS (Network and Information System Security) forma parte del paisaje de la ciberseguridad desde su entrada en vigor, en 2018, y por ello solemos olvidar lo innovadora que es. Se trata de un primer intento de reforzar el nivel global de la ciberseguridad dentro de la Unión Europea, y determinar una base de garantías para desarrollar un ecosistema de confianza. Para ello, se fijaba especialmente en los operadores de servicios esenciales, es decir, esas empresas que, según la definición de la ANSSI, «proporcionan un servicio esencial cuya interrupción tendría un impacto significativo en el funcionamiento de la economía o la sociedad».
Dicho de otro modo, la primera NIS estableció una norma común de defensa contra las ciberamenazas dentro de la Unión Europea. Esta directiva, traspuesta a las legislaciones nacionales de los Estados miembros, ha permitido desarrollar herramientas reglamentarias e, indudablemente, ha contribuido a mejorar el nivel de seguridad de los principales actores del mercado.
Sin embargo, ante la evolución de las amenazas, era imprescindible actualizar el texto, sobre todo para ampliar su campo de aplicación y preparar a las empresas frente a los desafíos actuales y futuros de la ciberseguridad. Es esta constatación lo que ha llevado a la Comisión a proponer una revisión de la directiva, bajo el nombre de NIS2.
NIS2, una base legislativa mejor adaptada a los nuevos desafíos para la ciberseguridad
La revisión de la NIS emana de la voluntad de actualizar las medidas de reglamentación previstas en la primera versión del texto, basándose en los conocimientos adquiridos e integrando los nuevos ciberdesafíos, en un contexto de interconexión cada vez mayor.
Por este motivo, el alcance de la directiva NIS2 se ha ampliado a más de 150 000 entidades (frente a la centena que abarcaba la NIS1), con el fin de incluir sectores como los servicios de acceso a la web, prestaciones de centros de datos, gran distribución, investigación, servicios postales o gestión de residuos. Antes, las medidas se centraban en los sectores de las telecomunicaciones, alimentación, transporte, salud, energía, tratamiento de aguas y servicios financieros.
En cuanto a las novedades, la NIS2 también amplía la obligación de declaración de incidencia cuando los siniestros (ciberataques, pérdidas de datos, etc.) presentan riesgos operacionales o financieros importantes. Por último, se prevén sanciones para las entidades que no respeten las medidas organizativas y técnicas, y las multas pueden alcanzar el 2 % del volumen de negocios mundial anual de la empresa que haya cometido la falta.
Un marco normativo más estricto, para una cooperación más estrecha
Al exigir aún a más empresas que integren medidas de ciberseguridad, la directiva NIS2 pretende reforzar el marco normativo establecido en la NIS1 para reflejar el desarrollo del mercado interior y la diversificación de la amenaza. El objetivo es aumentar la ciberresiliencia dentro de la Unión Europea, asegurándose de que los actores críticos conocen perfectamente los riesgos y han implementado las medidas necesarias para hacer frente a las amenazas informáticas.
Pero esto no es todo. Porque, además de la reglamentación, la NIS2 también pretende consolidar las acciones de cooperación dentro de la UE. Este es el objetivo de la red CyCLONe (Cyber Crisis Liaison Organisation Network) que reúne, a nivel operacional, las agencias nacionales de los países de la UE a cargo de la gestión de las crisis. Esta red se creó en 2020, con el fin de contribuir a implementar un plan de acción en caso de ciberataque o crisis transfronteriza, y permitir a las empresas compartir mejor la información sobre las amenazas. La directiva NIS2 marca, por tanto, un nuevo avance en el establecimiento de un marco normativo armonizado para todos los países europeos en materia de ciberseguridad. Sin embargo, este avance sigue estando limitado a las grandes estructuras. Dicho de otro modo, las pymes y las microempresas quedan fuera del proceso, a pesar de que son las peor equipadas frente a las ciberamenazas (en Europa, de cada dos empresas víctimas de un ataque de ransomware, una es una microempresa o pyme, según el Barómetro Anozr Way). Por este motivo, es labor de las instancias nacionales sensibilizar a las estructuras más pequeñas de los riesgos cibernéticos existentes y las buenas prácticas que deben adoptar para protegerse de ellos.
