directiva nis2
Juan Luis García Lead of Cybersecurity Business Development
Publicado el día 10 de febrero de 2025 .

NIS 2… era necesaria

El 30 de enero del año 2020 la Organización Mundial de la Salud declaraba la emergencia de salud pública por COVID-19 que trastocaría todas nuestras vidas. Semanas después, la mayoría de los ciudadanos quedaban confinados en sus casas, debiendo desarrollar su actividad profesional de forma remota. Lógicamente, no todos estaban preparados para ello. Las organizaciones tampoco. Sin embargo, los grupos de ciberdelincuencia supieron ver antes que nadie la oportunidad que esto les brindaba. Las fronteras que separaban estar dentro o estar afuera de los sistemas de la información corporativos se habían quebrado y medidas como el doble factor de autenticación eran toda una necesidad. Estos grupos no iban a desaprovechar la oportunidad que la situación sobrevenida les brindaba.

Los grupos de ciberdelincuencia han sabido en este tiempo adaptarse rápidamente frente a la evolución en el despliegue defensivo y las acciones operativas llevadas a cabo por las entidades y también por un sector en constante evolución. Cuando las grandes corporaciones habían desplegado unos sistemas de ciberseguridad más robustos, buscaron una alternativa para entrar en sus sistemas. Por ejemplo, atacando a su cadena de suministros, mimetizándose con la operativa de los administradores o aprendiendo a utilizar a bajo nivel los sistemas operativos.

Y alineado con el ataque a la cadena de suministros, los adversarios encontraron sectores que en apariencia no eran críticos y, por lo tanto, que no están obligados por la Directiva NIS, donde ciberataques han afectado sensiblemente a un conjunto considerable de ciudadanos. 
Algo tampoco parecía fluir adecuadamente en el cumplimiento de la norma. Por ejemplo, si la normativa NIS establecía la necesidad de comunicar, ¿por qué esto no se estaba llevando a cabo o al menos no lo hacía como se esperaba? Y es que, si leemos el articulado de la Directiva, no concretaba plazos para llevarlo a cabo. Es curioso que el artículo 23 relativo a la notificación indicara el siguiente epígrafe: ‘Flexibilidad en la observancia de los plazos para la notificación’. Ahora sí, la nueva norma NIS 2 establece unos plazos cristalinos.

UE se ha dado prisa en sacar una directiva como la NIS 2 cuando la anterior solo tenía seis años en vigor

Factores como los mencionados anteriormente son, sin lugar a duda, base de inspiración de la Directiva NIS 2 de la que hablábamos recientemente. Y podemos decir que la Unión Europea se ha dado prisa en sacar una directiva como la NIS 2 cuando la anterior solo tenía seis años en vigor. La tendencia está marcando la ciberdelincuencia exigía cambios y sobre todo aclarar algunos aspectos que podían quedar en la nebulosa.

Por un lado, la transposición ha aterrizado las funciones y los mecanismos de relación entre los diferentes actores afectados por la Directiva. Y por otro ha dejado claro a las organizaciones la labor del responsable de Seguridad, así como la necesidad de la corresponsabilidad y la necesidad, cuando no claramente la obligatoriedad, de colaborar por un fin común. 

Presentado el anteproyecto, los plazos se han dibujado a medias. Aunque puede modificarse lógicamente cuando se publique la ley, el mes de abril de este año se antoja como una fecha clave, fijando el día en el cual se notificarán los nombres de las entidades catalogadas como esenciales e importantes. A partir de ahí toca adaptarse y sin mucha dilación. La Directiva NIS está en vigor y la Ley determinará que su entrada en vigor se llevará a cabo el día siguiente al de la publicación en el Boletín Oficial del Estado.

Aquellas que ya hayan trabajado en el camino de la certificación del ENS en su nivel alto, lo tendrán más fácil. También las que estén certificadas en la ISO 27001, aunque tocará cubrir cierto GAP, ya que las medidas técnicas no tienen por qué estar totalmente alineadas. Las que no hayan recorrido ese camino, lo tendrán un poco más complejo. Pero no es un imposible, si hay voluntad. 

DORA es un ejemplo de Lex specialis que está armonizada con la Directiva NIS

¿Qué hemos estado haciendo en Izertis en este tiempo? En primer lugar, prepararnos y desarrollar las capacidades para ayudar a nuestros clientes a adaptarse o aplicar estas normativas que venían. Cierto es que tenemos ya un recorrido con el conocimiento e implantación de muchas normativas ya en vigor, pero cada una de ellas tiene sus particulares.

En segundo lugar, hemos estado identificando a quién, el por qué y el cómo. Y es que la Directiva tiene su aquel. Por ejemplo, si hablamos del sector esencial ‘Transporte por carretera’ y nos quedamos con la literalidad de la expresión, podemos caer en una lógica confusión. Pero si leemos el texto que le acompaña relativo al tipo de entidad, este nos aclara que se aplica a 'Operadores de sistemas de transporte inteligentes, tal como se definen en el artículo 4, punto 1, de la Directiva 2010/40/UE del Parlamento Europeo y del Consejo (14)'

También hay que considerar quién a priori puede estar afectado por sector, pero no le aplica la Directiva NIS 2. Hay un concepto interesante en derecho por la aplicación del concepto ‘Lex specialis derogat legi generali’. DORA es un ejemplo de Lex specialis que está armonizada con la Directiva NIS.

Puesto que muchas organizaciones han andado caminos como el cumplimiento del ENS o la ISO 27001, hemos preparado una revisión GAP para una adaptación ágil. Esto es así porque en algunos casos habrá que adaptar procedimientos de respuesta frente a incidentes, protocolos de comunicación o quizá, a los procesos de evaluación de la cadena de suministros haya que darles una pensada.

Las organizaciones cuentan con el apoyo que ofrece nuestra solución Sidertia

Nuestro equipo de arquitectura y hardening llevan años trabajando en normativas tan sensibles como las de las materias clasificadas, adaptando sistemas de la información a las medidas más complejas, donde el Zero Trust no es una condición posible. Es una obligación. Por lo tanto, cuentan con las habilidades para ayudar a las organizaciones a aplicar las medidas necesarias que exige la norma. Y, por si fuera poco, se complementan con los equipos de seguridad ofensiva que, en un trabajo coordinado, se posicionan con la visión del atacante para descubrir las brechas que hay que tapar.

Por último, las organizaciones cuentan con el apoyo que ofrece nuestra solución Sidertia. Evaluarnos a nosotros mismos en un modelo de análisis continuo o realizar un análisis y assessment técnico de la cadena de suministro es algo sencillo de llevar a cabo mediante nuestra solución. Además, se mantendrá un histórico en la evolución del cumplimiento y con centralización de los diferentes activos, teniendo la aproximación desde diferentes visiones: global, de negocio, técnico, etc.

El reto está lanzado y nosotros totalmente preparados.
 

Blog

< Volver