Dudas y aclaraciones sobre cómo implantar NIS2 en nuestras empresas

Recientemente estuvimos hablando de la Directiva NIS2 en otro artículo de Flu Project, en este caso, dedicado a otro tema de vertiente muy similar, el lanzamiento del 2º paquete RTS lanzado por las AES para el cumplimiento de DORA. Sin embargo, en el post de hoy queremos centrarnos en NIS2 y en algunas de las diferentes dudas que han ido surgiendo en los últimos meses, así que guardaros este post a modo de FAQ, que posiblemente os resulte de utilidad en vuestras respectivas organizaciones.

A modo de recordatorio, cuando hablamos de NIS2 nos referimos a la Directiva (UE) 2022/2555: NIS 2 (v2 de Network and Information Security), dirigida a elevar la ciberseguridad en la UE utilizando como palanca a sectores esenciales. No tiene nada que ver con el NIST (americano), cuyo parecido en 3 letras de 4 es mera coincidencia ;). Esta nueva regulación nace para actualizar y derogar la Directiva (UE) 2016/1148 del 6 de julio de 2016 (antigua Directiva NIS1).

NIS2 distingue dos grandes agrupaciones a las cuales les aplicarán determinados requerimientos en función de su criticidad. Estos requerimientos serán de aplicación para las empresas de estos sectores, siempre y cuando tengan más de 50 trabajadores (es decir, que al menos sean mediana empresa):

• Sectores de Alta Criticidad:
• Energía
• Transporte
• Banca
• Infraestructuras Mercados financieros
• Sector Sanitario
• Agua potable
• Aguas Residuales
• Infraestructura Digital
• Servicios TIC (B2B)
• Administración pública
• Espacio

• Otros Sectores Críticos:
• Servicios Postales y de mensajería
• Gestión de Residuos
• Fabricación, producción y distribución de sustancias y mezclas químicas
• Producción, transformación y distribución de alimentos
• Fabricación: Entre otros de productos sanitarios.
• Proveedores de servicios digitales
• Investigación

Sin embargo y por la redacción del Artículo 2, Punto 1 de la Directiva, el cual ha generado algo de controversia porque la redacción da lugar a confusión, estos requerimientos no solo aplicarán a estos 18 sectores en las organizaciones medianas y grandes, si no que tambien aplicarán a cualquier organización de estos sectores, independientemente de su tamaño, en determinadas circunstancias.

Esta hipótesis queda corroborada tras la publicación del Centro Criptológico Nacional, quien aclara en esta página que, con independencia de su tamaño, las medidas aplicarán a ambas agrupaciones (Sectores de Alta Criticidad y Críticos) en casos vinculados a la seguridad nacional y al funcionamiento de las infraestructuras críticas, en centros que realicen investigación (ej. centros de enseñanza), en administraciones regionales y locales (ej. ayuntamientos), lo cual por otra parte es algo obvio, dado que en muchos casos como en pueblos y pequeñas ciudades no llegarán a los 50 empleados pero sus servicios son mas que esenciales para la ciudadanía y el estado, etc. En la siguiente captura de la web del CCN podréis consultar estos detalles: 

En esta misma publicación podréis descargar una infografía muy interesante que vincula el Esquema Nacional de Seguridad (ENS) con NIS2, y en la que aclaran que a ojos de la administración, una compañía que disponga del ENS certificado en su Nivel Alto, será considerada como "conforme" frente a la Directiva NIS2, por lo que si ya contáis con esta certificación, ya tendréis hechos los deberes:

Asimismo, aclara que aquellas compañías que tengan certificaciones ENS Media y Básica deberán hacer hincapié en los temas de continuidad y gestión de proveedores, tal y como define la propia Directiva.

Para comenzar a entender de qué va NIS2 os recomiendo 2 de las publicaciones oficiales que tenemos en castellano, la propia traducción oficial de la directiva:

Y la Guía CCN-STIC 892 que ha sido publicada hace apenas unos días: