Publicadas NIS2 y DORA, las normativas que refuerzan la ciberseguridad y la resiliencia en la UE

Recomendados.... » Digitalización y seguridad, motor de innovación del sector financiero  Informe » IT Trends 2023 en ciberseguridad  y factores para su despliegue  Webinar » Work from Anywhere, garantía de perímetro de acceso seguro Leer

El Diario Oficial de la Unión Europea (DOUE) publicó, el 27 de diciembre, la nueva normativa sobre resiliencia de las entidades críticas que busca incrementar la protección de aquellas organizaciones que prestan servicios esenciales y que son consideradas cruciales para el mantenimiento de funciones sociales vitales, las actividades económicas, la salud y la seguridad públicas y el medio ambiente. Su plazo de transposición finaliza el 17 de octubre de 2024, por lo que antes de dicha fecha España tendrá que actualizar la Ley 8/2011.

Así, los sectores a los que se dirige son, principalmente, el de la energía, el transporte, la salud, el agua potable, las aguas residuales y el espacio, aunque algunas disposiciones también incluyen determinadas administraciones públicas centrales. El objetivo es que las entidades críticas sean capaces de prevenir amenazas como ataques híbridos, catástrofes naturales, amenazas terroristas o emergencias de salud pública y, en caso de sufrir alguno de estos percances, “responder, resistir y recuperarse frente a ellos”.

Para la Unión Europea, éstas deben de ser capaces de “prevenir los ataques híbridos, las catástrofes naturales, las amenazas terroristas y las emergencias de salud pública y de protegerse, responder, resistir y recuperarse frente a ellos”. Los Estados miembros de la Unión Europea tendrán que contar con una estrategia nacional para aumentar la resiliencia de las entidades críticas, llevar a cabo una evaluación de riesgos al menos cada cuatro años y determinar cuáles son las entidades críticas que prestan servicios esenciales. La UE considerará que una entidad crítica es de especial importancia europea cuando preste un servicio esencial a seis o más países.

Asimismo, las entidades críticas tendrán que determinar los riesgos pertinentes que puedan perturbar de forma significativa la prestación de servicios esenciales, tomar las medidas adecuadas para garantizar su resiliencia y notificar a las autoridades competentes los incidentes perturbadores.

Directiva NIS2

Esta directiva forma parte de un paquete legislativo, junto con otras dos normas que también se publicaron ayer.

Por un lado, se encuentra la Directiva (UE) 2022/2555 (NIS2), que sustituye a la Directiva actual, y que sienta las bases para las medidas de gestión de riesgos de ciberseguridad (los países de la UE tendrán que adoptar estrategias nacionales designar a autoridades competentes de gestión de crisis) y la obligación de notificación en los sectores que cubre (energía, transporte, sanidad e infraestructura digital).

Con ella la UE busca “desarrollar las capacidades en materia de ciberseguridad en toda la Unión, reducir las amenazas para los sistemas de redes y de información utilizados para prestar servicios esenciales en sectores fundamentales, y garantizar la continuidad de dichos servicios en caso de incidentes”, tal y como se publica en el Boletín Oficial del Estado (BOE).

El objetivo primordial es eliminar las diferencias entre los requisitos de ciberseguridad y de aplicación de las medidas entre los distintos Estados miembros. Para ello, se establecen normas mínimas para un marco regulador y mecanismos para una cooperación eficaz entre las autoridades de cada Estado miembro. Así, se establecerá la Red Europea de Organización de Enlace de Crisis Cibernéticas (EU-CYCLONe) para mejorar la coordinación en la gestión de incidentes de ciberseguridad a gran escala.

Reglamento DORA

Por el otro, también se ha publicado el Reglamento (UE) 2022/2554 (DORA), que establece requisitos uniformes para la seguridad de las redes y sistemas de información de las empresas y organizaciones que operan en el sector financiero, así como de terceros esenciales que les presten servicios relacionados con las TIC, como plataformas en la nube o servicios de análisis de datos.

Con este reglamento la Unión Europea crea un marco regulador sobre la resiliencia operativa digital conforme al cual todas las empresas deben asegurarse de que pueden resistir y responder a cualquier tipo de perturbación y amenaza relacionada con las TIC y recuperarse de ellas. Estos requisitos son homogéneos en todos los Estados miembros de la UE y, el principal objetivo es prevenir y mitigar las ciberamenazas.

A grandes rasgos, las entidades sujetas a este reglamento tendrán que elaborar un marco de gestión de riesgos en el que se regulen los procedimientos internos y protocolos de actuación relacionados con riesgos tecnológicos. Este tendrá que estar adaptado a las circunstancias concretas de cada entidad, sus riesgos y sus herramientas; realizar pruebas periódicas de los sistemas y protocolos para comprobar que son suficientemente robustos; informar a las partes implicadas lo antes posible cuando ocurra un incidente; y hacer un seguimiento muy estrecho de las funciones tecnológicas que se subcontraten o se deleguen a terceros.