NIS2: riesgos y oportunidades para las empresas

Introducción y referencias normativas

NIS es un acrónimo que significa «Seguridad de redes e información».

Con este acrónimo, la Comunidad Europea pretendía referirse a la iniciativa legislativa destinada a definir un enfoque armonizado en materia de ciberseguridad en todos los Estados miembros de la UE.

En 2018 se aprobó el primer reglamento europeo denominado NIS1 (Directiva (UE) 2016/1148), que se transpuso a nivel nacional mediante el Decreto Legislativo n.º 65, de 18 de mayo de 2018.

El Decreto NIS también preveía la adopción de una «estrategia nacional de ciberseguridad» mediante la creación del CSIRT (Equipo de Respuesta a Incidentes de Seguridad Informática) italiano, al que se le asignaron tareas técnicas relacionadas con la prevención, la respuesta y el seguimiento de los incidentes cibernéticos, en colaboración con los CSIRT europeos.

Posteriormente, el NIS1 fue sustituido por el NIS2 (Directiva (UE) 2022/2555), que se transpuso a nivel nacional mediante el Decreto Legislativo n.º 138, de 4 de septiembre de 2024.

La NIS 2 tiene por objeto superar las limitaciones de la NIS 1, que dejaba un margen de discrecionalidad excesivo a los Estados miembros a la hora de transponerla, lo que impidió alcanzar el objetivo de armonización, y que además excluía a determinadas categorías de entidades que deberían haber sido reguladas debido a su importancia para el mercado europeo.

Además, la NIS2 se introdujo para responder al aumento del ritmo de digitalización que se ha producido en todos los Estados miembros y que se ha visto acelerado por la pandemia, lo que ha ampliado el ámbito de los ciberataques sin que se haya producido un aumento equivalente de los sistemas de seguridad.

Por último, otro de los objetivos de la NIS2 es obligar a los operadores de servicios esenciales e importantes y a los proveedores de servicios digitales a adoptar medidas de seguridad adecuadas y a notificar sin demora los incidentes a las autoridades competentes y a los usuarios de sus servicios.

La nueva directiva se ha armonizado con otras normativas sectoriales europeas específicas, entre las que se incluyen:

- la Directiva sobre resiliencia operativa digital en el sector financiero (DORA). Se trata del Reglamento aprobado el 10 de noviembre de 2022 con el objetivo de reforzar las medidas de seguridad en favor de la resiliencia y la ciberseguridad del sector financiero mediante la aplicación de una serie de medidas de seguridad obligatorias que garanticen la integridad de la información y la ciberseguridad de los servicios;

- la Directiva sobre la resiliencia de las entidades críticas (CER); cuyo objetivo es garantizar la claridad jurídica y la coherencia entre las distintas directivas.

Las empresas en cuestión se han clasificado en:

• Entidades esenciales (energía; transporte; salud; suministro de agua; administración pública; finanzas; sector espacial; infraestructura digital)
• Sectores clave (investigación; productos químicos; alimentación; producción industrial; proveedores de servicios digitales; servicios postales; gestión de residuos)
• Entidades públicas: Administración central (órganos constitucionales y de relevancia constitucional; la Presidencia del Gobierno y los ministerios; agencias tributarias; autoridades administrativas independientes) | Administración regional (regiones y provincias autónomas) | Administración local (ciudades metropolitanas; municipios con más de 100 000 habitantes; capitales de provincia; autoridades sanitarias locales) | Otras entidades públicas (organismos reguladores económicos; prestadores de servicios económicos; asociaciones; prestadores de servicios sociales, recreativos y culturales; organismos e instituciones de investigación; institutos zooprofilácticos experimentales) | Otros tipos de entidades (entidades que prestan servicios de transporte público local; instituciones educativas que realizan actividades de investigación; entidades que realizan actividades de interés cultural; empresas internas; empresas participadas y empresas de control público)
• Proveedores: las organizaciones que prestan servicios esenciales a entidades afectadas por la NIS2 deben reforzar su seguridad digital, incluso si no figuran expresamente entre los sectores sujetos a la obligación.

Contenido de NIS2

Las obligaciones generales inherentes al contenido de la NIS2 pueden resumirse en cuatro pilares fundamentales:

Gobernanza: La dirección debe aprobar las medidas de gestión de riesgos adoptadas por la organización y evaluar su eficacia a lo largo del tiempo: seguir formándose periódicamente en materia de ciberseguridad y ofrecer formación similar a los empleados.

Gestión de riesgos: la organización debe evaluar los riesgos de seguridad y de red y adoptar medidas técnicas, operativas y organizativas adecuadas y proporcionadas para prevenir o minimizar el impacto de los incidentes en los destinatarios de sus servicios.

Continuidad del negocio: la organización debe adoptar soluciones que garanticen la continuidad del negocio (por ejemplo, copias de seguridad, un plan de recuperación ante desastres y un procedimiento de gestión de crisis), con el fin de minimizar el impacto de cualquier interrupción en los servicios prestados.

Cadena de suministro: la empresa debe evaluar las vulnerabilidades de cada proveedor directo, así como la calidad general de los productos y las prácticas de ciberseguridad de sus proveedores. La evaluación abarcará a los proveedores de TIC y a otros proveedores críticos que puedan provocar una interrupción del servicio por el que la organización ha sido incluida en el perímetro de la NIS2.

Por lo tanto, las empresas deberán poder medir y comunicar:

• Análisis de riesgos y políticas de seguridad de los sistemas de información
• Procedimientos de gestión de incidentes
• Soluciones de continuidad del negocio (copias de seguridad y recuperación ante desastres) y procedimientos de gestión de crisis y comunicación
• Políticas de seguridad de la cadena de suministro (proveedores y prestadores de servicios)
• Seguridad en la adquisición, el desarrollo, el mantenimiento y la gestión de las vulnerabilidades de los sistemas de información y las redes

Cronología de NIS2

Las empresas y las administraciones públicas deberán realizar una evaluación para determinar si están sujetas a las obligaciones de la Directiva NIS2.

Entre el 1 de diciembre de 2024 y el 28 de febrero de 2025, las empresas deberán haberse autenticado en el portal de la ACN (Agencia Nacional de Ciberseguridad) utilizando sus credenciales SPID. Durante este periodo, los usuarios designados como «Servicio de Registro».

En concreto, las empresas están obligadas a:

• Indique si la entidad forma parte de un grupo de empresas y facilite el número de identificación fiscal de la sociedad matriz, si procede.
  
• Enumera las empresas vinculadas e indica sus números de identificación fiscal.
  
• Indique los códigos ATECO que describen la actividad de la entidad.
• Indique la normativa sectorial pertinente de la Unión Europea.
• Facilite las cifras de volumen de negocio, balance y número de empleados para determinar la categoría de la empresa.
• Enumera los tipos de entidades a las que pertenece la empresa.

A más tardar el 17 de enero de 2025, los operadores de registros de nombres de dominio de primer nivel; los proveedores de servicios del sistema de nombres de dominio y de registro de nombres de dominio; los proveedores de servicios de computación en la nube; los centros de datos; los proveedores de redes de distribución de contenidos; los proveedores de servicios gestionados; los proveedores de servicios de seguridad gestionados; así como los proveedores de mercados en línea; los proveedores de motores de búsqueda en línea y los proveedores de plataformas de redes sociales deberán haberse registrado en la plataforma.

A 31 de marzo de 2025, la ACN elaboró una lista de entidades esenciales e importantes basándose en las inscripciones recibidas a través de la plataforma.

Entre el 1 de abril de 2025 y el 15 de abril de 2025, la ACN comunicó a las entidades afectadas si habían sido incluidas en la lista de entidades esenciales o importantes.

A más tardar el 15 de abril de 2025, las entidades que recibieron la notificación debían designar, mediante un acto específico, a una entidad responsable del cumplimiento de las obligaciones del decreto.

A partir de entonces, las entidades afectadas por la Directiva deberán cumplir con otros requisitos:

• a más tardar el 1 de enero de 2026; obligación de notificar incidentes
• antes del 1 de octubre de 2026; deberán cumplirse las obligaciones relativas a los órganos administrativos y a las medidas de seguridad

Cada año, la ACN actualizará la lista de entidades afectadas. Las empresas y las administraciones públicas tendrán la oportunidad de inscribirse cada año, entre enero y febrero, si consideran que se encuentran entre las entidades afectadas.

Riesgos para las empresas, pero también oportunidades

Tras la entrada en vigor de la Directiva NIS2 y la identificación de los operadores afectados, las autoridades competentes podrán llevar a cabo actividades de vigilancia y controles aleatorios para verificar el cumplimiento de la Directiva por parte de estos. En caso de incumplimiento, se impondrán sanciones a las empresas afectadas.

Las sanciones son muy severas: para las grandes empresas, hasta 10 millones de euros o el 2 % de la facturación global; para las medianas empresas, hasta 7 millones de euros o el 1,4 % de la facturación global.

Aunque el cumplimiento de la normativa exige un esfuerzo y una inversión evidentes por parte de las empresas, también hay que reconocer que la propia normativa pretende ofrecer una solución sustancial al problema de los ciberataques, a los que las empresas italianas siguen siendo muy vulnerables y que a menudo tienden a ocultar por motivos de imagen. En términos económicos, el perjuicio medio estimado por cada ciberataque individual supera los 2 millones de euros, independientemente de la facturación de la empresa.

Cómo puede ayudar ERA en la gestión del cumplimiento de la NIS2

A pesar de todo lo anterior —que podría sugerir que las empresas están muy interesadas e implicadas en cuestiones de ciberseguridad—, no es raro, sobre todo entre las pequeñas y medianas empresas, encontrar empresas que han hecho poco o nada al respecto y que, en la actualidad, son incapaces de definir su situación en cuanto a los riesgos a los que están expuestas, tanto desde el punto de vista técnico como en lo que se refiere al cumplimiento de las distintas normativas vigentes.

Algunas empresas abordan la cuestión de la ciberseguridad mediante la contratación de seguros. Sin embargo, las compañías de seguros suelen mostrarse reacias a ofrecer este tipo de protección a empresas que nunca han tomado medidas concretas en el ámbito cibernético. Esto se debe a que no existe un método fiable para estimar con precisión los daños causados por un ciberataque. En consecuencia, los «paquetes NIS2» se centran en los servicios de evaluación de riesgos cibernéticos, pero dejan en manos de las empresas la adopción de las medidas necesarias para subsanar cualquier deficiencia. ERA puede ofrecer un servicio más completo, apoyándose en una red de proveedores altamente cualificados en condiciones comerciales muy competitivas.

En concreto, el apoyo de ERA consiste en:

• Una evaluación de la estructura organizativa y técnica de la empresa; mediante cuestionarios de autoevaluación basados en indicadores predefinidos;
• Cursos de sensibilización y formación; con cursos básicos para todo el personal y módulos avanzados para el personal directivo y los mandos intermedios; de conformidad con las directrices de NIS2;
• Pruebas específicas y altamente cualificadas de análisis de vulnerabilidades; gestión del phishing y evaluación de riesgos de ransomware;
• Apoyo por parte de consultores especializados durante la fase de corrección tras la evaluación;
• Asistencia especializada por parte de consultores especializados para orientar las decisiones estratégicas en el ámbito de la ciberseguridad.

Nuestra solución incluye el análisis del cumplimiento de la normativa NIS2, lo cual es sin duda la cuestión más urgente; pero también puede acompañar al cliente en la gestión del proyecto durante la fase de corrección, es decir, la fase en la que el cliente debe subsanar las diversas «deficiencias» identificadas en el proceso de diagnóstico, y que es precisamente la fase en la que las dificultades de algunas empresas se hacen más evidentes, tanto en lo que respecta a las competencias internas como a la disponibilidad de tiempo y recursos.