Directiva NIS 2: una actualización clave para la ciberseguridad en la UE
Publicado el 24th febrero 2023
La norma actualizada pretende garantizar un elevado nivel de ciberseguridad y eliminar las divergencias en la aplicación de la derogada NIS 1.
La transformación digital ha traído consigo múltiples beneficios en términos de eficiencia y productividad, pero también ha abierto la puerta a nuevos desafíos en materia de seguridad cibernética. Cada vez son más frecuentes los ataques y ciberamenazas en redes y sistemas de información, que tienen como principal objetivo aquellos sectores que manejan datos valiosos y sensibles, como es el caso del sector de la salud.
Un ejemplo de ello fue el ataque de ransomware que sufrió una reconocida entidad aseguradora médica en España en septiembre de 2020 y que mantuvo el apagón digital de la compañía durante al menos un mes. La pandemia del Covid-19 ha exacerbado esta situación aumentando nuestra exposición y dependencia de las nuevas tecnologías lo que ha provocado una mayor vulnerabilidad y un incremento en las oportunidades para un ciberataque. Esta nueva realidad en un sistema interdependiente y conectado exige por ende una respuesta coordinada por parte de todos los Estados miembros que garantice la robustez y seguridad de los sistemas de la UE en su conjunto.
La anterior Directiva (UE) 2016/1148, también conocida como NIS 1, tenía como objetivo crear un marco común en materia de ciberseguridad en toda la Unión. Sin embargo, su revisión reveló que las obligaciones ahí contenidas venían aplicándose de manera distinta en cada Estado miembro, con efectos perjudiciales para el mercado interior. Estas diferencias se traducen en una mayor vulnerabilidad frente a ciberataques de algunos Estados miembros, crean brechas de seguridad y comprometen a nivel general la integridad de las redes y sistemas de información de la Unión.
Como respuesta a esta situación, en un contexto de inestabilidad geopolítica donde se ha extendido el uso de tácticas de guerra asimétrica como son los ataques informáticos, la Unión Europea ha dado un paso al frente y ha aprobado la Directiva NIS 2 (Directiva (UE) 2022/2555). Esta norma que se publicó en el Diario Oficial de la Unión Europea el 27 de diciembre de 2022, sustituye a la Directiva NIS 1 y su principal objetivo es poner fin a las diferencias entre Estados miembros mediante la definición de requisitos mínimos comunes y el establecimiento de mecanismos que garanticen una cooperación eficaz entre las autoridades de los Estados miembros. Lo dispuesto en la directiva será de obligado cumplimiento a partir del 17 de octubre de 2024 y, por tanto, requerirá una actualización de la normativa española en esta materia, que se recoge actualmente en el Real Decreto Ley 12/2018 y en su normativa de desarrollo, el Real Decreto 43/2021.
Ámbito de aplicación
La Directiva NIS 2 amplía significativamente la lista de sectores cubiertos por la norma, además de proporcionar más información sobre las entidades que deberán estar sujetas a los requisitos de ciberseguridad. Así, la normativa será de aplicación obligatoria a toda entidad con más de 250 empleados y una facturación anual superior a 50 millones de euros y/o un balance anual superior a 43 millones de euros. En circunstancias especiales y para sectores especialmente comprometidos, las entidades deberán cumplir con la Directiva NIS 2 con independencia del tamaño de la empresa, como es el caso, entre otros, de los proveedores de redes públicas o servicios de comunicaciones electrónicas o cuando la perturbación del servicio pueda tener repercusiones significativas en el ámbito de la salud pública. Por otro lado, dependerá de cada Estado miembro la clasificación de estas entidades como “esenciales” o “importantes” (por ejemplo, entidades que realizan actividades de investigación y desarrollo de medicamentos y productos sanitarios, proveedores de servicios digitales, proveedores de energía, proveedores de transporte o empresas que se dediquen a la producción, transformación y distribución de alimentos, etc.), y aunque ambos grupos deben cumplir con las mismas obligaciones, la calificación como entidad esencial está sujeta a una supervisión más estricta.
Medidas de ciberseguridad
La normativa introduce un conjunto de medidas obligatorias que cada entidad debe abordar para prevenir incidentes de ciberseguridad, incluyendo, entre otras, políticas de seguridad de los sistemas de información, análisis de riesgos, prácticas de ciberhigiene, formación en ciberseguridad y soluciones de autenticación multifactorial y continua. En este mismo sentido, se introducen nuevos requisitos relativos a la privacidad como, por ejemplo, la obligación de informar sobre los incumplimientos que conlleven una violación de seguridad de los datos personales de conformidad con el Reglamento General de Protección de Datos. Además, se refuerzan las medidas de ciberseguridad aplicables tanto a los Estados miembros como a las entidades esenciales e importantes, siendo los Estados miembros quienes deben obligar a las entidades a cumplir con la normativa y, por consiguiente, quienes deben llevar a cabo las actuaciones oportunas de supervisión y sanción en caso de incumplimiento por dichas entidades.
Responsabilidad de los órganos de dirección
Pese a que el texto normativo no indica qué debe entenderse por órgano de dirección de las entidades esenciales e importantes, sí regula la obligación de estos órganos de aprobar y supervisar las medidas de ciberseguridad, recayendo en éstos la responsabilidad en caso de incumplimiento de la legislación por parte de dicha entidades. En este sentido, y con el objetivo de que los trabajadores de las empresas sujetas a la normativa adquieran conocimientos sobre la prevención de riesgos en el ámbito de la ciberseguridad, la Directiva NIS 2 obliga a los miembros de los órganos de dirección a asistir a formaciones sobre prevención de riesgos en ciberseguridad debiendo trasladar esta información y conocimientos a sus empleados.
Medidas de incumplimiento
Los Estados miembros deben implementar sistemas que prevean sanciones efectivas, proporcionadas y disuasorias. Las multas por incumplimiento pueden alcanzar el 2% del volumen de negocios anual de la organización o 10 millones de euros −la que suponga mayor cuantía− para las entidades esenciales y hasta un 1,4% del volumen de negocios anual o 7 millones de euros para las entidades importantes.
Notificaciones y plazos
Aunque las obligaciones de notificación de los incidentes ya venían reguladas en la Directiva NIS 1, la nueva Directiva aclara el alcance de estas obligaciones con disposiciones más específicas acerca del proceso de notificación, su contenido y los plazos para ello. En particular, las entidades afectadas deben presentar un informe inicial sobre un incidente a su equipo de respuesta de incidentes de seguridad informática (CSIRT) o, en su caso, a la autoridad competente en un plazo de 24 horas desde que tuvieron conocimiento del mismo y proporcionar una actualización final al cabo de un mes desde la notificación inicial. Asimismo, el texto regula que cuando sea necesario la notificación de los incidentes al público para evitar o para hacer frente a un incidente significativo en curso o para el interés público, tanto el CSIRT (nacional o de terceros estados) como las autoridades competentes podrán tomar la iniciativa de informar al público sobre el incidente, después de consultar con la entidad afectada, o incluso exigir que la entidad afectada realice dicha comunicación.
Uso de la inteligencia artificial
Uno de los aspectos más novedosos de esta directiva es la exigencia impuesta a los Estados miembros de promover el uso de tecnologías innovadoras, incluida la inteligencia artificial, para mejorar la detección y prevención de ciberataques, lo que permitiría una asignación de recursos más eficaz y efectiva para combatir estas amenazas.
El sector sanitario
El uso generalizado de registros electrónicos, aplicaciones de salud y dispositivos portátiles en el sector sanitario implica el tratamiento de una ingente cantidad de datos personales de salud especialmente sensibles. Aunque estos sistemas de información son esenciales para el actual funcionamiento de las organizaciones sanitarias y han mejorado significativamente el diagnóstico y tratamiento de enfermedades, cualquier interrupción o compromiso de estos sistemas puede tener consecuencias graves tanto para la salud como para la privacidad de los pacientes. El valor atribuido a estas categorías de datos personales ha aumentado considerablemente el riesgo de estas organizaciones a ser objeto de ciberataques. Un estudio llevado a cabo por la Agencia de la Unión Europea para la Ciberseguridad realizado con el objetivo de apoyar la comprensión del estado actual y el desarrollo de los CSIRT en el sector de la atención de la salud en la UE, concluyó que un 73% de los Estados miembros consideran que se debe apoyar la creación de grupos o foros para compartir información y buenas prácticas relacionadas con incidentes de ciberseguridad en este sector. De esta forma, se busca garantizar que las organizaciones sanitarias tengan acceso a información actualizada sobre las últimas amenazas cibernéticas y puedan adoptar medidas adecuadas para proteger sus sistemas de información. La UE está avanzando en esta dirección y prueba de ello es la Directiva NIS 2, que establece un marco de cooperación entre los Estados miembros de la UE para compartir este tipo de información.
A partir de la aprobación de esta norma, los CSIRT han cobrado un rol importante en la UE y, en relación con el sector de la salud, los CSIRT sanitarios juntamente con instituciones como el Centro de Análisis e Intercambio de Información Sanitaria (H_ISAC) están facilitando la transferencia de conocimientos a nivel internacional a través de seminarios, talleres, documentos de trabajo y cumbres educativas con el objetivo de ser más proactivos ante posibles incidentes de ciberseguridad y, de esta manera, ayudar a mejorar la seguridad cibernética y la resiliencia de los sistemas de información del sector de la salud en toda la UE.
Comentario de Osborne Clarke
Esta directiva supone un paso más hacia la armonización de la legislación a nivel europeo en materia de ciberseguridad y recurre a la exigencia para que los gobiernos, las empresas y los ciudadanos estemos mejor preparados para impedir ciberataques. La prevención es el pilar fundamental en la lucha contra los ciberdelitos y el hecho de que la legislación actual obligue a adoptar un mayor nivel de protección es, sin duda, una buena noticia en sectores especialmente sensibles y amenazados, como el sanitario.