CONCLUSIONES DE LA REUNIÓN
La Directiva NIS2 constituye el nuevo pilar normativo europeo en materia de ciberseguridad, con el objetivo de armonizar el nivel de protección en los Estados miembro y reforzar la resiliencia de sectores estratégicos. Su futura transposición a la legislación española implicará obligaciones reforzadas tanto en gobernanza como en gestión de riesgos, incidentes y continuidad de negocio.
Durante esta sesión de nuestro Grupo de Trabajo de CIOS, en la que contamos con la colaboración de Vodafone y con las intervenciones de Inmaculada García, Directora Territorial de AENOR en Asturias y Cantabria y de David López López, KAM Soluciones Ciberseguridad en Fractalia Cibersegurity para el canal Vodafone Business, se analizó el alcance de la directiva, sus principales obligaciones y su relación con marcos ya consolidados como ISO 27001 y el Esquema Nacional de Seguridad (ENS). Asimismo, se abordaron implicaciones prácticas para las organizaciones, así como experiencias y retos detectados por los miembros del Grupo de Trabajo.
Marco normativo y fundamentos de NIS2
El grupo revisó los elementos centrales de la Directiva NIS2, destacando:
- Objetivo general: uniformar los niveles de ciberseguridad en el mercado europeo mediante requisitos comunes aplicables a sectores esenciales e importantes.
- Estado de la transposición: aunque la UE fijó octubre de 2024 como fecha límite, la transposición en España continúa pendiente, lo que abre un periodo de incertidumbre sobre el detalle de los requisitos nacionales.
- Enfoque basado en la gestión del riesgo: la directiva exige un modelo continuo de identificación, evaluación y mitigación, en línea con los principios de ISO 27001 y ENS.
- Ámbito de aplicación: afecta a entidades de sectores esenciales (energía, transportes, salud, agua potable, infraestructura digital, banca, administración pública, etc.) y sectores importantes (servicios postales, gestión de residuos, producción industrial, alimentación, proveedores digitales, investigación).
- Impacto en la cadena de suministro: incluso organizaciones no incluidas formalmente deberán adoptar controles para poder operar con clientes sujetos a NIS2.
Obligaciones de gobernanza y gestión
Los participantes analizaron las principales obligaciones que incorpora NIS2:
- Gobernanza y responsabilidad directiva
- La directiva exige que los órganos de dirección aprueben y supervisen las medidas de seguridad e impulsen una cultura corporativa orientada a la ciberseguridad.
- Se espera que la alta dirección reciba formación específica y asuma responsabilidad directa en caso de incumplimiento.
- Gestión de riesgos: Los requisitos incluyen:
- análisis y diagnóstico continuado de riesgos,
- medidas de protección técnica y organizativa,
- seguridad en adquisiciones y suministros,
- evaluación periódica de la eficacia del sistema.
- Notificación de incidentes. Se destacó el esquema de reporting propuesto:
- 24 horas: notificación temprana del incidente significativo,
- 72 horas: informe actualizado con evaluación preliminar,
- 1 mes: informe final dirigido al CSIRT correspondiente.
Asimismo, se deberán comunicar incidentes relevantes a clientes afectados y, cuando proceda, a autoridades públicas.
Perspectiva técnica: soluciones y estrategias de ciberseguridad
Los participantes debatieron sobre prácticas y tecnologías clave para alinearse con NIS2, destacando:
- La necesidad de adoptar una visión global de ciberseguridad, evitando la compra aislada de soluciones puntuales.
- El papel de herramientas como EDR/XDR, firewalls avanzados, gestión de dispositivos móviles (MDM), copias de seguridad basadas en el modelo 3-2-1 y seguridad cloud.
- La relevancia del SOC como sistema de monitorización continua capaz de detectar anomalías y generar evidencia documental necesaria ante incidentes.
- La importancia de combinar capacidades humanas con inteligencia artificial para mejorar la velocidad y precisión de la detección y respuesta.
El Grupo de Trabajo coincidió en que la llegada de NIS2 marcará un nuevo nivel de exigencia regulatoria y operativa en materia de ciberseguridad. Aunque la transposición española está aún pendiente, las organizaciones deben anticiparse fortaleciendo su modelo de gobernanza, la gestión de riesgos, los procesos de notificación y la cultura corporativa.
La integración de marcos como ENS e ISO 27001, combinada con estrategias de concienciación y soluciones tecnológicas avanzadas, permitirá abordar con mayor madurez y eficiencia los retos que plantea la nueva directiva.
