NIS 2, principales novedades en la nueva Directiva europea de ciberseguridad

Blog

2
- Dic
2021
Publicado por: Javier Tallón
NIS 2, principales novedades en la nueva Directiva europea de ciberseguridad

Mejorar la ciberseguridad ha sido una de los principales hitos marcados por la Comisión Europea en los últimos años. La llegada de la pandemia del COVID-19, con un confinamiento en prácticamente toda Europa, ha acelerado muchas de actividades o gestiones que antes sólo se podían hacer presencialmente. Esto ha supuesto también un aumento de los ciberdelitos, llegando a triplicarse el número de algunos de ellos, como el ransomware.

La Directiva europea de ciberseguridad NIS 1, aprobada en 2017, ya puso sobre la mesa ciertas medidas para mejorar la ciberseguridad en las empresas europeas consideradas infraestructuras críticas, que eran objeto de sanción para aquellas que no las cumplían, categorizadas en una escala de gravedad por leves, graves y muy graves. Sin embargo, diferentes voces alzaron críticas sobre incorporación poco homogénea de esta normativa en los diferentes Estados miembros, creando una aplicabilidad diferente en cada uno, lo que al final conlleva a una fragmentación del mercado único.

Proceso de creación de la NIS 2

Ante esta perspectiva, era evidente que una mejora de la NIS 1 llegaría más pronto que tarde, por ello, el anuncio de la Comisión a comienzos de 2020 de lanzar una revisión de dicha Directiva (NIS 2), creó muchas expectativas.

A continuación, explicamos de forma muy concisa, una cronología de la NIS 2 desde el comienzo.

  • 29 de enero de 2020: La Comisión anunció su intención de poner en marcha una revisión de la Directiva sobre la seguridad de las redes y los sistemas de información (Directiva NIS)

  • 7 de julio de 2020: La Comisión lanzó una consulta pública sobre la revisión de la Directiva NIS que tiene como objetivo recoger opiniones sobre su aplicación y sobre el impacto de posibles cambios futuros.

  • 2 de octubre de 2020: Cierre de la consulta

  • 16 de diciembre de 2020: La Comisión presentó una nueva Estrategia de Ciberseguridad de la UE haciendo la propuesta de una Directiva sobre medidas para un alto nivel común de ciberseguridad en toda la Unión (Directiva NIS revisada o "NIS 2")

  • 13 de abril de 2021: La Comisión presentó su propuesta

  • 2 de julio de 2021: El plazo de presentación de enmiendas a la propuesta de directiva finalizó el 2 de junio de 2021

  • 28 de octubre de 2021: Los eurodiputados de la Comisión de Industria, Investigación y Energía (ITRE) aprobaron el informe sobre la Directiva NIS 2

  • Próximamente: Entrada en vigor NIS 2.

    Principales diferencias entre la NIS 1 y la NIS 2

    Una vez analizado el borrador, la NIS 2, existen una serie de mejoras respecto a la NIS 1 que se resumen en los siguientes puntos:

  • Se reforzarán los requisitos de seguridad con una lista de medidas, entre ellas la respuesta a incidentes y la gestión de crisis, el tratamiento y la divulgación de vulnerabilidades, las pruebas de ciberseguridad y el uso eficaz del cifrado.

  • Se reforzará la ciberseguridad de la cadena de suministro de las principales tecnologías de la información y la comunicación.

  • Responsabilidad de la dirección de la empresa por el cumplimiento de las medidas de gestión de riesgos de ciberseguridad.

  • Incorporación de las obligaciones de notificación de incidentes con disposiciones más precisas sobre el proceso de notificación, el contenido y el calendario.

    ¿A qué nuevos sectores afecta la NIS 2?

    En la nueva normativa existe un aumento considerable del número de sectores a los que se les aplica. A los ya conocidos sectores incluidos en la NIS 1 tales como energía, los mercados financieros, el transporte, los proveedores digitales o la banca, se les incorporan otros como telecomunicaciones, sectores de fabricación, gestión de residuos, administración pública o sector aeroespacial, entre otros.

    Aunque bien es cierto que sólo las compañías medianas y grandes entran en el ámbito de aplicación de la NIS 2, también deben de tener en cuenta aquellas otras compañías que les suministran, para que no afecten a la cadena de suministro.

    En el siguiente gráfico podemos observar los sectores a los que afectaba la NIS 1, así como la ampliación del ámbito de aplicación para incluir más sectores y servicios como entidades esenciales o importantes en la NIS 2.

    ¿Cómo podemos ayudarte en aplicar la NIS 2 en tu empresa?

    En jtsec somos expertos en consultoría y evaluación en diferentes estándares reconocidos a nivel europeo. Por ello, no dudes en contactar para que podamos asesorarte sobre qué certificación es más conveniente para que tu empresa se ajuste ante la inminente aprobación final de la NIS 2 por la Comisión Europea.

  • Javier Tallón/Director Técnico

    Consultor experto del estándar de seguridad Common Criteria y de otros muchos estándares de seguridad dentro de las tecnologías de la información (FIPS 140-2, ITSEC, ISO 27K1, SOC 2, ENS,...). Javier ha trabajado como evaluador de seguridad en los mayores laboratorios nacionales y como consultor ha acompañado a diversas compañías en sus procesos de certificación de la ciberseguridad. Ha sido ponente en diversas conferencias en materia de seguridad informática y certificación (SuperSec, Cybercamp, Navaja Negra, International Common Criteria Conference, International Cryptographic Module Conference, EUCyberact Conference), es profesor del máster de Ciberseguridad de la UGR y está certificado CISSP (Certified Information Systems Security Professional) y OSCP/OSCE (Offensive Security Certified Professional & Certified Expert).

    En 2015 comienza a sentar las bases de lo que será jtsec. Actualmente ejerce las labores Director Técnico del laboratorio de evaluación y Jefe de Operaciones (COO) de la oficina de Granada desde donde la empresa desarrolla la mayor parte del trabajo. Reconocido experto en diversas disciplinas de ciberseguridad (reversing, exploiting, web, …), asume la dirección técnica de la mayoría de los proyectos, dirigiendo y organizando el trabajo del equipo. Además lidera el área de Investigación y Desarrollo, fomentando la participación del equipo de jtsec en múltiples Congresos.


    Contacto

    ¡Envíanos tus dudas o sugerencias!

    Al enviar tus datos nos permites que los usemos para resolver tus dudas enviándote información comercial de tu interés. Los suprimiremos cuando dejen de ser necesarios para esto. Infórmate de tus derechos en nuestra Política de Privacidad.