Novedades en obligaciones de NIS 2

Nota informativa del área de Protección de Datos de ECIJA Madrid.

Al día siguiente de la plena aplicación de NIS 2, la Comisión Europea ha publicado un Reglamento de Ejecución en el que se definen cuestiones relativas a la clasificación de incidentes de seguridad y medidas de seguridad referidas a la gestión de riesgos.

Lo que necesitas saber:

• El Reglamento de Ejecución define cuestiones relativas a la clasificación de incidentes de seguridad y medidas de seguridad referidas a la gestión de riesgos.
• Este reglamento define su alcance para varios proveedores de servicios, incluyendo servicios de confianza, computación en nube, centros de datos, redes de distribución de contenidos, servicios gestionados, mercados en línea, motores de búsqueda en línea y plataformas de servicios de redes sociales.
• Se definen los criterios para determinar qué se entenderá por incidente significativo y recurrente.
• Se incluyen medidas de seguridad detalladas para la gestión del riesgo, como la política de seguridad y de gestión de riesgos de seguridad, la política de continuidad de negocio y gestión de crisis, y la política de criptografía.

El viernes 18 de octubre, siendo el primer día de aplicación efectiva de la Directiva 2022/2555 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión (en adelante, “Directiva NIS 2”), se publicó por parte de la Comisión Europea, un Reglamento de Ejecución para detallar cuestiones específicas relativas a la consideración de los incidentes de seguridad y medidas concretas para ser aplicadas por los sujetos obligados.

1. Aplicación del Reglamento de Ejecución

Concretamente, dicho Reglamento de Ejecución define su alcance para:

• Proveedores de servicios de DNS.
• Registros de nombres de dominio de primer nivel.
• Proveedores de servicios de computación en nube.
• Proveedores de servicios de centros de datos.
• Proveedores de redes de distribución de contenidos.
• Proveedores de servicios gestionados.
• Proveedores de servicios gestionados de seguridad.
• Proveedores de mercados en línea.
• Motores de búsqueda en línea y de plataformas de servicios de redes sociales.
• Proveedores de servicios de confianza.

Así las cosas, el Reglamento de Ejecución desarrolla los artículos 21.2 (medidas de ciberseguridad para gestión del riesgo) y 23.3 de la Directiva NIS 2 (obligaciones de reporte) constando de un documento principal y un anexo al mismo.

No obstante, lo anterior, debido a la falta de una concreción mayor de las medidas de la Directiva NIS 2, este Reglamento de Ejecución puede servir como guía, para otros sujetos obligados.

El Reglamento de Ejecución se publicará en el Diario Oficial oportunamente y entrará en vigor veinte días después.

2. Incidentes significativos y recurrentes

En el documento principal se definen los criterios para determinar qué se entenderá por incidente significativo y recurrente, igualmente determina en su artículo primero que las entidades mentadas anteriormente deberán implementar medidas de gestión de los riesgos de la ciberseguridad según viene definido en el Anexo.

En este sentido, se entenderá como incidente significativo cuando uno o más de estos criterios sean cumplidos:

• El incidente ha causado o puede causar un perjuicio económico superior a 500 000 euros o al 5 % del volumen de negocios anual total (la cantidad que sea menor).
• El incidente ha causado o puede causar la exfiltración de secretos comerciales.
• El incidente ha causado o puede causar la muerte de personas.
• El incidente ha causado o puede causar daños considerables a la salud de personas.
• Se ha producido un acceso exitoso, presuntamente malintencionado y no autorizado a la red y a los sistemas de información, capaz de causar graves perturbaciones operativas.
• Se trata de un incidente recurrente.

El incidente cumple uno o varios de los criterios establecidos en los artículos 5 a 14.

No se considerarán incidentes significativos las interrupciones programadas del servicio ni las consecuencias previstas de las operaciones de mantenimiento programado realizadas por las entidades pertinentes o en su nombre.

Con respecto a los incidentes recurrentes, se considerarán colectivamente como un incidente significativo cuando cumplan todos los criterios siguientes:

• Que hayan ocurrido al menos dos veces en un plazo de 6 meses.
• Que tengan la misma causa raíz aparente.
• Que cumplan colectivamente los criterios establecidos en la letra a) del apartado 1 del artículo 3.

3. Medidas de seguridad para la gestión del riesgo

Como ya se ha indicado, en el Anexo del Reglamento de Ejecución se procede a incluir las medidas de seguridad para la gestión del riesgo de manera más detallada y específica que en la generalidad que quedan descritas en la Directiva NIS 2.

Descarga el PDF completo más abajo.

Link a la infografía enfocado al sector de Prestadores de Servicios Electrónicos de Confianza.