Introducción: un nuevo paradigma de seguridad informática

‍

La Directiva NIS2, que entró en vigor el 17 de enero de 2023 (16 de octubre en Italia), representa un cambio profundo con respecto a la anterior Directiva NIS. Este marco normativo pretende crear una ciberestrategia común para todos los Estados miembros de la UE, con el objetivo principal de aumentar los niveles de seguridad de los servicios digitales en toda la UE

‍

Ha comenzado oficialmente la temporada de aplicación de la directiva europea NIS2, que representa un cambio más que significativo en el enfoque de la gestión de la seguridad de la información.

‍

Aun valorando el esfuerzo comunicativo de la Agencia Nacional de Ciberseguridad (ANC), que sitúa el aspecto represivo y sancionador en un segundo plano frente al fomento de la participación activa, es evidente que el proceso de implantación de los objetivos de la Directiva no puede resolverse únicamente en una acatamiento formal del sistema de gestión de la seguridad -lo que comúnmente se denomina "seguridad sobre el papel"-, sino que requiere un esfuerzo sustancial de definición de objetivos de seguridad concretos y sostenibles.

La ampliación del perímetro: quién participa en NIS2

La directiva NIS2 representa un paso importante hacia una mayor ciberseguridad y resistencia compartida en toda Europa. Cuando se trata de reglamentos y directivas, muchas empresas ven el cumplimiento como el objetivo final: algo que tienen que cumplir satisfaciendo unos requisitos mínimos. Sin embargo, esto debería verse como el punto de partida para alcanzar mayores niveles de ciberseguridad.

La Directiva NIS2 es fruto de una profunda revisión de la NIS y supone otro paso importante hacia la plena definición de la ciberestrategia europea, proporcionando respuestas adecuadas coordinadas e innovadoras por parte de los Estados miembros para garantizar la continuidad de los servicios digitales en caso de incidentes de seguridad.

‍

La NIS2 amplía considerablemente el ámbito de aplicación en comparación con la anterior Directiva NIS, incluyendo sectores cruciales como la gestión de residuos, el transporte, la industria alimentaria, el suministro y distribución de agua potable, las infraestructuras digitales, la administración pública, la producción, investigación y desarrollo de medicamentos y productos sanitarios, y el sector espacial.

‍

El Decreto Legislativo 138/2024, que incorpora la Directiva NIS2 a la legislación italiana, establece que las disposiciones se aplicarán a partir del 16 de octubre de 2024.

‍

El Reglamento no se aplicará a las pequeñas empresas a menos que la entidad sea considerada "crítica" en el sentido de la Directiva RCE, un proveedor de redes públicas de comunicaciones electrónicas, un proveedor de servicios de confianza o entre en otras categorías específicas consideradas esenciales.

‍

La NIS2 también se aplica a las empresas con menos de 50 empleados si prestan un servicio esencial en un Estado miembro, si su servicio es crucial para la seguridad o la salud públicas, o si forman parte de la cadena de suministro de una empresa esencial o importante.

‍

Las principales cuestiones críticas para las empresas

‍

1. Complejidad del modelo estratificado y problemas de clasificación

Esta complejidad operativa se refleja en la elección por parte del legislador italiano de un modelo "estratificado". El primer estrato es el estándar, es decir, el de los sujetos esenciales o importantes, que superan los límites de tamaño de las pequeñas empresas. El segundo estrato está formado por las entidades que, independientemente de su tamaño o volumen de negocios, entran en categorías específicas prescritas.

‍

Un problema importante se refiere a la medición real del aspecto del tamaño, debido a la referencia a la noción de "empresas afiliadas" sobre la que, en el mundo empresarial, no siempre existe una claridad de visión absoluta.

‍

La vinculación entre dos o más empresas es, en teoría, independiente de la intención de formar un verdadero grupo formalizado, con la consecuencia de excluir del grupo de pequeñas y medianas empresas a aquellas entidades que, aun consideradas individualmente, no alcanzarían los límites de tamaño previstos en la norma.

‍

2. Cargas económicas y organizativas

Cuando bajamos de la idealidad del proceso al planteamiento concreto, la cuestión es bastante diferente, ya que choca con el tamaño económico de un país cuya estructura fundamental está formada por un gran número de pequeñas y medianas empresas. Esto plantea un reto importante en la aplicación del NIS2, que podría resultar excesivamente gravoso para las realidades más pequeñas.

‍

Creada con el objetivo de mejorar la ciberseguridad de la Unión Europea, las sanciones de la Directiva NIS2 son puramente administrativas y penales. Los operadores esenciales pueden ser objeto de multas administrativas de hasta 10 millones de euros o el 2% del volumen de negocios global total. Los operadores importantes, por su parte, pueden ser objeto de multas de hasta 7 millones de euros o hasta el 1,4% del volumen de negocios mundial total.

‍

3. Responsabilidad de la dirección

El Decreto Legislativo introduce una certeza: habrá una responsabilidad de los órganos de dirección y de gobierno. Los órganos de dirección de las empresas estarán llamados a desempeñar un papel activo en el cumplimiento de la legislación, tendrán que aprobar la aplicación de medidas de gestión de los riesgos de seguridad, supervisar el cumplimiento de las obligaciones establecidas en la legislación y serán responsables de las infracciones.

4. Notificación de incidentes y gestión de riesgos

El decreto de transposición refuerza los requisitos de notificación de incidentes, estipulando que los incidentes que tengan un impacto significativo en la prestación de servicios deben notificarse al CSIRT Italia sin demora indebida. El proceso de notificación prevé plazos estrictos: una notificación previa en un plazo de 24 horas, una notificación en un plazo de 72 horas a partir del suceso y un informe final en el plazo de un mes a partir del suceso.

‍

La directiva NIS2 establece una serie de requisitos principales que las organizaciones deben cumplir para garantizar un alto nivel de ciberseguridad. Estos requisitos incluyen: análisis de riesgos y políticas de seguridad de los sistemas de información, estrategias para evaluar la eficacia de las medidas de gestión de riesgos y prácticas básicas de higiene digital y formación en ciberseguridad.

‍

5. Centrarse en la cadena de suministro

De ello se desprende que la legislación de transposición de la Directiva NIS2 no sólo se centra en los sectores considerados altamente críticos o críticos, sino que, de forma previsora, también en sus proveedores, ampliando así considerablemente el número de sujetos susceptibles de verse afectados por la aplicación del Decreto Legislativo.

‍

La Directiva NIS 2 establece que las entidades obligadas tendrán que adoptar medidas técnicas, operativas y organizativas adecuadas y proporcionadas para gestionar los riesgos de seguridad que plantean los sistemas y redes de información, considerando también la seguridad de la cadena de suministro, incluidos los aspectos de seguridad relativos a la relación entre cada entidad y sus proveedores directos o prestadores de servicios.

‍

Plazos clave que deben cumplirse

Comienza así la carrera por la conformidad, que deberá estar completa en octubre de 2026. A principios de 2025, las empresas identificadas como sujetos NIS2 deben estar operativas con todas las medidas previstas, incluidos los sistemas de gestión de la seguridad informática y las responsabilidades de gestión. En mayo de 2025, las empresas deben actualizar sus datos en la plataforma institucional. En enero de 2026, entra en vigor la obligación formal de notificar oportunamente los incidentes significativos y, en septiembre de 2026, las organizaciones deben haber implantado todas las medidas de seguridad exigidas.

‍

A partir del 16 de octubre de 2024 entrará en vigor el nuevo Reglamento sobre Seguridad de las Redes y de la Información (SRI ). La ACN es la autoridad competente en materia de SRI y la ventanilla única. Del 1 de diciembre de 2024 al 28 de febrero de 2025, las medianas y grandes empresas, en algunos casos también pequeñas empresas y microempresas, y las administraciones públicas a las que se aplica la nueva legislación deben registrarse en el portal de servicios de ACN.

‍

Conclusión: un cambio de paradigma necesario pero difícil

La creciente interconexión y digitalización de la sociedad ha hecho que instituciones, empresas y ciudadanos estén cada vez más expuestos a las ciberamenazas.

‍

Los máximos responsables de la Agencia Nacional de Ciberseguridad se han comprometido públicamente a hacer sostenible este proceso, que realmente puede marcar un punto de inflexión en la capacidad del país para hacer frente a las crecientes amenazas. Habrá que esperar a ver cómo el tejido productivo y administrativo del país es capaz de responder a lo que es, a todas luces, un profundo punto de inflexión cultural y que, como se intuye, no será ni un paseo ni "coste neutro".

‍

Por lo tanto, la adaptación a NIS2 no es sólo una cuestión de cumplir la norma, sino que también puede ser una buena oportunidad para introducir en la empresa una cultura de seguridad, así como las mejores prácticas técnicas y organizativas, que pueden elevar considerablemente el nivel de seguridad informática. No obstante, es importante empezar a preparar desde ahora mismo un plan de adaptación para adecuar por etapas los distintos activos y el personal de la empresa con ciclos de formación periódicos adecuados.

Aunque no sea una de las empresas obligadas a cumplir la Directiva NIS2, iniciar un curso de concienciación sobre ciberriesgos es importante para proteger el futuro de su negocio.

‍

NIS2 representa, por tanto, un reto complejo pero necesario para las empresas italianas. Aunque impone nuevas obligaciones y responsabilidades que pueden parecer onerosas, también ofrece la oportunidad de replantearse la seguridad informática como un elemento estratégico y no simplemente como un coste.