La NIS2, Directiva europea que debe trasponerse al marco jurídico español -estaba fechada para el 17 de octubre-, establece la obligación de contar con sistemas de ciberseguridad más robustas en el tejido empresarial, a fin de reducir la exposición a los ciberataques y robos de datos, hechos que generan catastróficas pérdidas económicas y nuevas amenazas a través de esa misma información sustraída.
El 17 de octubre entraba en vigor la nueva norma en España. Su objetivo, tal y como describe el Instituto Nacional de Ciberseguridad (INCIBE), es disponer de "medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión Europea (UE). Esta nueva normativa, conocida como Directiva NIS2, modifica el reglamento relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior".
Es decir, obliga a los estados miembro a adoptar estrategias nacionales de ciberseguridad y a designar o establecer autoridades competentes para la gestión de crisis de cibernéticas y "puntos de contacto únicos sobre ciberseguridad y equipos de respuesta a ciberincidentes", explica este organismo.
Uno de los principales organismos encargado de velar que las empresas cumplan con estas exigencias de la UE será el Centro Nacional de Inteligencia (CNI) a través del CCN-CERT, tal y como ha podido saber Vozpópuli, ente integrado en el Ministerio de Defensa dirigido por Margarita Robles. Esta entidad, además, ha publicado una guía para el cumplimiento de la nueva regulación. El INCIBE será el organismo en el que se apoye el CNI para hacerla cumplir. Tanto el CCN-CERT como el INCIBE son quienes se encargan de dar respuesta a incidentes cibernéticos y lanzar las pertinentes alertas y avisos, e investigar los ciberataques.
La guía publicada por el CCN-STIC recalca que se "podrán establecer perfiles de cumplimiento específicos para entidades o sectores concretos, que incluirán la relación de requisitos, medidas y refuerzos que en cada caso resulten aplicables, o los criterios para su determinación", y añade que "el Centro Criptológico Nacional, en el ejercicio de sus competencias, validará y publicará los correspondientes perfiles de cumplimiento específicos que se definan, como se dispone en el artículo 30.3 del ENS, permitiendo a aquellas entidades comprendidas en su ámbito de aplicación alcanzar una mejor y más eficiente adaptación al ENS". El ENS o Esquema Nacional de Seguridad es un marco de especificaciones técnicas de seguridad obligatorio para el sector público y sus proveedores que el propio CCN se encarga de actualizar y hacer que se cumpla. Los requisitos de la NIS2 se integrarán en el ENS.
Además, la guía del CNI establece que "el CCN velará para que las funciones de supervisión o auditoría en relación con las entidades esenciales e importantes se lleven a cabo por profesionales cualificados, con las competencias necesarias para llevar a cabo dichas tareas de acuerdo a los requisitos establecidos en la guía “CCN-CERT IC-01/19 criterios generales de auditoría y certificación” en que también se rigen los organismos de certificación del ENS de forma adicional a la norma ISO/IEC 17065:2012".
Las multas para las corporaciones que incumplan la NIS2 serán de hasta 10 millones de euros o el 2% de su facturación en el caso de empresas 'esenciales'. Para las calificadas como 'importantes' serán de 7 millones de euros o el 1,4% de su facturación.
Están obligadas a cumplir con la NIS2 las empresas con más de 50 empleados, pero si la corporación es considerada como 'importante' o 'esencial', dará igual el tamaño de la plantilla: tendrá que cumplirla sí o sí.
Las entidades 'esenciales' son aquellas de sectores críticos: banca, telecomunicaciones, energía, redes públicas de comunicaciones electrónicas o administraciones públicas, entre otras corporaciones.
Por su parte, las entidades 'importantes' son aquellas que ofrecen servicios o actividades en la UE de medio o gran tamaño: También lo son aquellas que operan para empresas de 18 sectores críticos como alguno de los antes mencionados. Es decir, el abanico es muy grande, y abarca desde grandes empresas hasta micropymes, siempre y cuando estas trabajen para empresas críticas o esenciales.
Las multas para las corporaciones que incumplan la NIS2 serán de hasta 10 millones de euros o el 2% de su facturación en el caso de empresas 'esenciales'. Para las calificadas como 'importantes' serán de 7 millones de euros o el 1,4% de su facturación
