Debido al incremento y diversidad de los ciberataques, en 2016 la Unión Europea publicó la Directiva NIS (UE 2016/1148), destinada a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión. Esta directiva identificaba los sectores que soportan los servicios esenciales para la sociedad y la economía y fue traspuesta a la normativa española mediante el Real Decreto-ley 12/2018, desarrollada posteriormente en el Real Decreto 43/2021.
La normativa española extendió los 7 sectores originales para hacerlos coincidir con los de la Ley PIC, de protección de Infraestructuras críticas. En la legislación española, ahora son 12 los sectores de los operadores de servicios esenciales (OSE): administración, espacio, industria nuclear, industria química, instalaciones de investigación, agua, energía, salud, TIC (tecnologías de la información y la comunicación), transporte, alimentación y sistema financiero y tributario. Además, están en el ámbito del Real Decreto-ley 12/2018 los proveedores de servicios digitales (marketplaces, motores de búsqueda y proveedores cloud).
Desde entonces, los operadores de servicios esenciales y proveedores de servicios digitales están obligados a tomar medidas técnicas, operativas y organizacionales para mejorar su ciberseguridad y notificar incidentes siguiendo las directrices de las autoridades competentes en cada sector. Para estos operadores, en el ámbito privado, el CERT de referencia es INCIBE-CERT.
En 2023, la Unión Europea publicó una nueva directiva, la NIS2 (UE 2022/2555), que sustituye a la normativa anterior y extiende el número de sectores a 18, aplicando en general a entidades públicas y privadas, medianas y grandes, y a algunas micro y pequeñas empresas determinadas por su criticidad. En paralelo, también se publicó la Directiva CER (UE 2022/2557) sobre resiliencia de entidades críticas, ambas deben trasponerse antes del 17 de octubre de 2024.
La NIS2, en su artículo 21.2, incluye 10 medidas técnicas, operativas y organizativas mínimas para gestionar los riesgos de ciberseguridad. El artículo 23 indica el procedimiento para notificar incidentes significativos.
La siguiente tabla muestra la correspondencia de los servicios de INCIBE-CERT a operadores con estos dos artículos de la directiva. Todos los servicios son gratuitos, pero para acceder a algunos es necesario firmar previamente un acuerdo de confidencialidad o NDA (Non Disclosure Agreement).
Consulta el espacio de «Sectores estratégicos» con noticias, artículos y avisos específicos para cada sector y las FAQ NIS2 donde se resolverán las dudas más frecuentes sobre la directiva.
No esperes a la trasposición y comienza a preparar tu empresa para su cumplimiento. En una sociedad digital, tu ciberseguridad es la de todos. Revisa los recursos y servicios incluidos en la TemáTICa «Cumpliendo con la NIS2». Están organizados para ayudarte a cumplir cada una de las medidas indicadas en los artículos 21 y 23 de la directiva.
Recuerda que puedes contactar con nosotros a través de la Línea de Ayuda en Ciberseguridad de INCIBE (017), los canales de mensajería instantánea de WhatsApp (900 116 117) y Telegram (@INCIBE017), o el formulario de contacto (seleccionando la opción de usuario de empresa o profesional) que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados. vía: INCIBE
