NIS2: cómo prepararse adecuadamente

ABC del cifrado

Evolución estratégica de la ciberseguridad con la entrada en vigor de la Directiva NIS2

PRIM'X - NIS2

Mientras que las ciberamenazas son cada vez más frecuentes, la Directiva NIS2 representa una oportunidad a escala europea: la que permitirá protegerse mejor a miles de entidades que interactúan a diario con los ciudadanos. Dicha directiva se incorporará a la legislación francesa a más tardar el 17 de octubre de 2024.

De NIS1 a NIS2

Tras ocho años de existencia (2016-2024), la directiva sobre seguridad en las redes y sistemas de información, denominada “NIS1”  (Network and Information System Security) va a ser sustituida por la Directiva NIS2, que amplía su ámbito de aplicación y exige mayor protección a las organizaciones destinatarias.

En línea con su predecesora NIS1, la Directiva NIS2 refuerza las normas de seguridad que deben cumplir, a riesgo de sanción, ciertas empresas privadas u organismos públicos (cuya interrupción de actividad tendría un impacto significativo en el funcionamiento de la sociedad).

Nuevos sectores de actividad y dos entidades estraégicas 

La primera diferencia notable entre ambas versiones es su ámbito de aplicación: La NIS1 cubre 19 sectores de actividad, mientras que la NIS2 cubre 35.

Los nuevos sectores incluyen:

  • los servicios postales y de expedición,
  • la gestión de residuos,
  • la fabricación, producción y distribución de productos químicos,
  • el sector industrial,
  • el sector agroalimentario,
  • y los proveedores de servicios digitales.

Otro cambio es la incorporación de un grupo de empresas/organizaciones destinatarias. Mientras que la Directiva NIS1 hacía referencia a una única categoría de organizaciones estratégicas (OSE, operadores de servicios esenciales), la NIS2 distingue ahora entre dos actores claves: las entidades esenciales y las entidades importantes.

¿Qué diferencia entre ambas?

  • Las entidades esenciales son estructuras públicas o privadas que desarrollan actividades en sectores categorizados como muy críticos, y que disponen de más de 250 empleados o un volumen de negocio superior a 50 millones de euros.
  • Las entidades importantes, públicas o privadas, cuentan con entre 50 y 250 empleados o un volumen de negocio entre 10 y 50 millones de euros. Sus actividades no se consideran muy críticas, no obstante, su cierre tendría un impacto significativo en la sociedad.

El perímetro de aplicación se amplía pasando de incumbir de 300 a aproximadamente 15.000 empresas en Francia.

Consideración de la cadena de suministro y un régimen de sanciones reforzado

La Directiva NIS2 tiene en cuenta asimismo toda la cadena de suministro, en respuesta a los ataques de tipo “supply chain” dirigidos contra los subcontratistas de un editor de software, un integrador o cualquier otro actor clave de la cadena de valor. Esto significa que los subcontratistas de una entidad esencial o significativa también tendrán que cumplir las obligaciones de la NIS2.

Esta consideración del riesgo relacionado con la cadena de suministro es consecuencia de ciberataques de gran repercusión, como el que afectó a Solarwinds en 2020. Durante varios meses, este editor de herramientas de gestión de infraestructuras informáticas se enfrentó a un grave problema al distribuir, sin saberlo, un componente de software de su plataforma Orion que contenía una puerta trasera. Según Solarwinds, hasta 18.000 de sus clientes se descargaron las actualizaciones afectadas. Entre estos clientes figuraban varias empresas del CAC 40 y departamentos gubernamentales estadounidenses.

La NIS2 difiere de la NIS1 en el refuerzo del régimen de sanciones. Se prevé un porcentaje de la facturación mundial de la entidad respectiva en caso de incumplimiento de la directiva:

  • Para entidades esenciales, las sanciones pueden alcanzar los 10 millones de euros o el 2% de su facturación anual mundial.
  • Para entidades importantes, las sanciones pueden alcanzar los 7 millones de euros y el 1,4% de su facturación.

Principales obligaciones vinculadas a la NIS2

El planteamiento de la Directiva NIS2 consiste en incitar, tanto a las entidades esenciales como a las importantes, a adoptar medidas técnicas, operativas y organizativas adecuadas y proporcionadas para gestionar los riesgos asociados a la seguridad de las redes y los sistemas de información que utilizan.

Las medidas se basan en una perspectiva “todo riesgo” orientada a proteger las redes y los sistemas de información, así como el entorno físico de estos sistemas, contra cualquier incidente.

Estas medidas incluyen los siguientes elementos:

  • aplicación de políticas de análisis de riesgos y de seguridad de los sistemas de información,
  • gestión de incidentes,
  • continuidad de las actividades (gestión de copias de seguridad y recuperación tras un siniestro),
  • seguridad de la cadena de suministro.

Las entidades esenciales e importantes también deben establecer procedimientos que permitan:

  • evaluar la eficacia de las medidas de gestión de los riesgos de ciberseguridad,
  • desplegar prácticas básicas de ciberhigiene y formación en ciberseguridad,
  • garantizar la seguridad de los recursos humanos,
  • aplicar políticas de control de acceso y gestión de activos.

La directiva recomienda reforzar la seguridad utilizando principalmente criptografía y tecnologías de cifrado de datos. Por ejemplo, es igualmente muy recomendable el uso de soluciones de autenticación multifactor o continua, comunicaciones seguras de voz, vídeo y texto y sistemas de comunicación de emergencia seguros dentro de la entidad.

Incentivo para utilizar productos europeos certificados

Otro punto importante a tener en cuenta: la Directiva NIS2 insta a las entidades respectivas a utilizar productos certificados. El artículo 24 establece lo siguiente: “A los efectos de demostrar la conformidad con determinados requisitos del artículo 21, los Estados miembros podrán exigir a las entidades esenciales e importantes que utilicen productos, servicios y procesos de TIC particulares, desarrollados por la entidad esencial o importante o adquiridos a terceros, que estén certificados en virtud de un esquema europeo de certificación de la ciberseguridad adoptado en virtud del artículo 49 del Reglamento (UE) 2019/881 (Ley de Ciberseguridad). Asimismo, los Estados miembros promoverán que las entidades esenciales e importantes utilicen servicios de confianza cualificados”.

En el marco de la NIS2, el uso creciente del cifrado y de productos certificados implica recurrir a actores especializados. La certificación es parte central de la estrategia de PRIM’X: realizamos el mantenimiento y reexaminamos los certificados para las diferentes versiones y plataformas con el fin de dar seguimiento a la evolución de las tecnologías, del estado de la técnica en criptografía y de las amenazas. Además de las certificaciones, nuestras soluciones de cifrado se someten a contraevaluaciones nacionales, transnacionales o específicas para cada mercado determinado.

El objetivo de la Directiva NIS2 consiste en reforzar la resiliencia de las organizaciones francesas y europeas. Aunque el nivel de madurez cibernética de las empresas francesas está aumentando (49%, frente al 46% de hace un año), sigue siendo insuficiente para protegerse a largo plazo contra la multitud de ciberamenazas, según la edición más reciente del informe de la consultora Wavestone.