La literatura publicada en relación con la directiva NIS2 (Network and Information Security 2) y el reglamento DORA (Digital Operational Resilience Act) es amplia y extensa desde que ambos documentos se promulgaron en el Diario Oficial de la Unión Europea en el mes de diciembre de 2022.
Es ya sobradamente conocido que ambas normativas persiguen reforzar la ciberseguridad y resiliencia en el conjunto de la Unión Europea y, sin embargo, algunas cuestiones siguen generando dudas a las distintas organizaciones que les son de aplicación e incluso entre los profesionales de la seguridad de la información. Intentaremos, en esta entrega, clarificar algunos conceptos básicos, pensando especialmente en aquellas personas no tan familiarizadas con el ámbito GRC (Gobierno, Riesgo y Cumplimiento) y a las que este tipo de directrices y regulaciones les pueden resultar de difícil comprensión.
Naturaleza
En la Unión Europea, los reglamentos y directivas son instrumentos legislativos usados para establecer normas y políticas que afectan a los estados miembros, pero existen sutiles diferencias entre ellos.
Podemos destacar como aspecto más significativo que, mientras que los reglamentos son directamente aplicables y vinculantes en todos los Estados miembros sin necesidad de transposición, las directivas establecen objetivos que deben alcanzarse, pero requieren acción (imperativamente) a nivel nacional para su implementación.
Objeto
La directiva NIS2 (Directiva UE 2022/2555) sustituye a la actual (NIS), estableciendo requisitos en materia de ciberseguridad y obligaciones de supervisión para los Estados miembros, medidas para la gestión de riesgos de ciberseguridad y obligaciones de notificación para las entidades bajo el alcance de su aplicación, así como normas en cuanto al intercambio de información relacionada. También es reseñable añadir que esta directiva contempla especialmente la seguridad en la cadena de suministro y la responsabilidad de la ciberseguridad por parte de la alta dirección.
Por su lado, el reglamento DORA (Reglamento UE 2022/2554) nace con la intención de armonizar y elevar el nivel de resiliencia operativa digital de entidades del sector financiero y asegurador, estableciendo requisitos y normas relativos a la seguridad de las redes y los sistemas de información que sustentan los procesos de negocio de estas organizaciones: gestión del riesgo TIC, notificación de incidentes, pruebas de resiliencia, intercambio de información e inteligencia, acuerdos y supervisión de proveedores de servicios TIC, entre otros.
Alcance
Por una parte, NIS2 define las entidades bajo su alcance en sus anexos I y II, siendo principalmente organizaciones medianas y grandes de los sectores críticos para la economía y la sociedad. Esta nueva directiva realiza una nueva categorización de las entidades a las que le afecta, distinguiendo entre esenciales e importantes. No obstante, corresponderá a los Estados miembros de la Unión elaborar una lista de las entidades esenciales e importantes, a más tardar, el 17 de abril de 2025.
En cuanto a DORA, su artículo 2 define el ámbito de aplicación de este reglamento, diferenciándose especialmente aquellas organizaciones denominadas como “entidades financieras”. Como muy relevante, cabe destacar que este reglamento afecta también a los proveedores terceros de servicios TIC de estas organizaciones.
Por tanto, ateniéndonos a las consideraciones aquí expuestas, amén de las disposiciones que podemos encontrar en la redacción del reglamento y directiva citados, DORA define las directrices a seguir en materia de ciberseguridad y resiliencia por parte de las entidades financieras definidas como tal en su alcance (apartado 2 del Artículo 2), no debiendo aplicarse a estas las disposiciones de la directiva NIS2 por parte de los estados miembros.
Entrada en Vigor
Tanto la directiva NIS2 como el reglamento DORA entraron en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea. Ahora bien:
- Los Estados miembros deben adoptar y publicar las medidas necesarias para dar cumplimiento a lo establecido en la directiva NIS2. Estas disposiciones serán de aplicación a partir del 18 de octubre de 2024.
- El reglamento DORA será de aplicación a partir del 17 de enero de 2025, con lo que las entidades afectadas disponen de un pequeño lapso de tiempo adicional para adecuarse al mismo.
Estado actual y consideraciones
Como se ha indicado, España como estado miembro de la Unión, debe transponer la directiva NIS2 a su ordenamiento jurídico. En este sentido, nuestros legisladores ya se encuentran trabajando en la nueva norma que deje atrás el actual Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información (NIS).
Si bien no se espera la promulgación de la citada transposición hasta fechas cercanas a la de aplicación, las organizaciones obligadas a su cumplimiento ya debieran estar adecuándose en pro de cumplir con los principales requisitos de esta regulación europea. Sin duda alguna, esta tarea será mucho más sencilla para aquellas organizaciones que se encuentren ya alineadas con la aún en vigor directiva NIS y con un marco de gestión reconocido para la gestión de su programa de seguridad de la información, como ISO/IEC 27001 o nuestro Esquema Nacional de Seguridad (ENS).
Igualmente, las entidades afectadas por el reglamento DORA aún tienen margen de maniobra para su adecuación. Para ello, las tres Autoridades Europeas de Supervisión (EBA, EIOPA y ESMA) publicaron el pasado 17 de enero el primer conjunto de proyectos finales de normas técnicas, donde se recogen requisitos específicos que complementan a aquellos exigidos por el reglamento. Cabe añadir que tanto para la promulgación del reglamento como de las normas técnicas relacionas se han considerado debidamente los estándares europeos e internacionales existentes sobre gestión de riesgos de TIC, así como las Directrices de la EBA ya existentes sobre TIC y gestión de riesgos de seguridad (2019), las Directrices de EIOPA sobre seguridad y gobernanza de las TIC (2020), la Directiva NIS2, así como NIST CSF y los estándares de la familia ISO/IEC 27000 entre otras medidas de relevancia.
En este sentido, aquellas entidades consideradas en el alcance del reglamento DORA necesitarán un esfuerzo mucho menor para evitar sanciones derivadas de su incumplimiento si ya se encuentran adecuadas, según su naturaleza, a las directrices sobre gestión de riesgos de TIC y de Seguridad (EBA/GL/2019/04) o bien a las directrices sobre gobernanza y seguridad de las tecnologías de la información y de las comunicaciones (EIOPA-BoS-20/600).