Directiva NIS 2

La Directiva NIS 2 es una directiva de la UE cuyo objetivo es garantizar un alto nivel común de ciberseguridad en la Unión Europea. Sustituye a la Directiva NIS original de 2016 y refuerza los requisitos de seguridad, aborda la seguridad de las cadenas de suministro e introduce sanciones armonizadas. La Directiva NIS 2 fue adoptada por el Parlamento Europeo y el Consejo de la UE a finales de 2022 y se aplica en la UE desde el 18/10/2024. Los Estados miembros deben transponer la Directiva a derecho nacional.

La NIS 2 establece en primera línea requisitos para las empresas:

Si la Directiva NIS 1 tenía por objeto principalmente infraestructuras críticas y proveedores de servicios digitales relevantes, la Directiva NIS 2 amplía los sectores para incluir el sector manufacturero en las siguientes áreas: construcción de máquinas, fabricantes de equipos de tratamiento de datos, productos electrónicos y ópticos, equipos eléctricos, vehículos de motor y piezas y construcción de otros vehículos. En estos ámbitos, se ven afectadas las empresas con más de 50 empleados o un volumen de negocios o balance anual superior a 10 millones de euros.

Para alcanzar la conformidad con la NIS 2, las entidades afectadas deben tomar varias medidas, entre otras:

• Gestión de riesgos: implementación de procesos para la identificación y evaluación de riesgos.
• Medidas de seguridad: introducción a medidas de reducción de riesgos de tipo técnico y organizativo.
• Notificación de incidentes: establecimiento de procedimientos para informar de incidentes de seguridad a las autoridades competentes.
• Supervisión y auditorías: inspección y evaluación periódica de las medidas de seguridad.

La aplicación de la NIS 2 corre a cargo de las autoridades nacionales de los Estados miembros de la UE, que son responsables de la supervisión y del cumplimiento de la Directiva. En Alemania, la autoridad competente es la Oficina Federal de Seguridad de la Información (Bundesamt für Sicherheit in der Informationstechnik - BSI).

Medidas para la aplicación:

1. Obligaciones de notificación: las empresas deben informar sobre incidentes de seguridad. La NIS 2 introduce un sistema de notificación de tres niveles para mejorar la transparencia y la capacidad de respuesta.
2. Medidas de control: la Oficina Federal de Seguridad de la Información (BSI) tiene poderes ampliados para realizar auditorías e inspecciones con el fin de comprobar el cumplimiento de los requisitos de seguridad.
3. Sanciones: el incumplimiento de la Directiva puede comportar sanciones que varían en función de la gravedad de la infracción.

Apoyo y asesoramiento:
la Oficina Federal de Seguridad de la Información (BSI) brinda a las empresas relevantes apoyo y asesoramiento para facilitar la aplicación de la NIS 2. Las empresas deben actuar proactivamente para mejorar su seguridad informática y prepararse para los nuevos requisitos. La Agencia de la Unión Europea para la Ciberseguridad (ENISA) ofrece mucha información útil sobre ciberseguridad.

La Directiva NIS 2, el Reglamento de Ciberresiliencia (Cyber Resilience Act) y el Reglamento de Máquinas forman parte de un amplio marco regulatorio de la UE concebido para reforzar la ciberseguridad y ciberresiliencia. Mientras la NIS 2 se concentra en la seguridad de las redes, los sistemas de información y los requisitos a nivel de empresa, el Reglamento de Ciberresiliencia (Cyber Resilience Act) tiene por objeto mejorar la ciberseguridad de productos que contienen elementos digitales. El Reglamento de Máquinas complementa estas medidas a través de la especificación de requisitos de seguridad para máquinas y productos industriales.

• Otras especificaciones de protección industrial (Industrial Security) (p. ej., IEC 62443)
• Agencia de la Unión Europea para la Ciberseguridad (ENISA)