La Directiva (UE) 2022/2555, de 14 de diciembre de 2022 (Directiva NIS2), que actualizará y derogará la Directiva (UE) 2016/1148 del 6 de julio de 2016, conocida como Directiva NIS1, es una norma jurídica europea que tiene como objeto establecer un marco normativo destinado a garantizar un elevado nivel de seguridad en las redes y sistemas de información en toda la Unión Europea, con el objetivo de alcanzar un elevado nivel común de ciberseguridad. 

Para ello, se establecen obligaciones para que las adopten aquellas entidades que se incluyen en su ámbito de aplicación. Dichas obligaciones se concretan en obligaciones de notificación e intercambio de información sobre incidentes y medidas de seguridad técnicas, operativas y organizativas adecuadas, establecidas para gestionar los riesgos de ciberseguridad de los sistemas de información y las redes que utilizan dichas entidades en sus operaciones o en la prestación de sus servicios. 

Para una mejor adecuación de los requisitos de ciberseguridad exigibles a las entidades en su ámbito, la Directiva NIS2 distingue entre entidades esenciales y entidades importantes. En cualquier caso, las 10 agrupaciones de medidas de seguridad que determina su artículo 21 se aplicarán a ambos tipos de entidades, aunque con mayor nivel de exigencia a las entidades esenciales. 

La Directiva NIS2 fue publicada en el Diario Oficial de la UE (DOUE) el 27 de diciembre de 2022, tras su aprobación formal, habiendo entrado en vigor veinte días después. No obstante, como ocurre con cualquier Directiva Europea, cada Estado miembro realizará la transposición de la Directiva NIS2 a su ordenamiento jurídico nacional, de forma análoga a como ya se hizo en España con su predecesora, la directiva NIS1, mediante la promulgación del Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información. 

Según el artículo 41 de la Directiva NIS2, deberá transponerse en todos los Estados miembros, entre ellos España, a más tardar el 17 de octubre de 2024, siendo de aplicación el 18 de octubre de ese mismo año. 

Las Entidades de la Administración pública están señaladas en el Anexo I de la Directiva como sectores de alta criticidad, con exclusión del poder judicial, los parlamentos y los bancos centrales. En este anexo se hace referencia exclusivamente a la Administración pública central y la autonómica (regional). No obstante, se señala que los Estados miembros podrán disponer que la presente Directiva se aplique a las entidades de la Administración pública a nivel local y a los centros de enseñanza, en particular cuando lleven a cabo actividades críticas de investigación. 

Asimismo, la presente Directiva no se aplicará a las entidades de la Administración pública que lleven a cabo sus actividades en los ámbitos de la seguridad nacional, la seguridad pública, la defensa o la garantía del cumplimiento de la ley, incluidas la prevención, la investigación, la detección y el enjuiciamiento de infracciones penales. 

La Directiva NIS2 en su artículo 3 distingue entre entidades esenciales y entidades importantes, en función del grado de criticidad del sector al que pertenecen, de los servicios que presten y de su tamaño.

La directiva considera sectores de alta criticidad (Anexo I) y otros sectores críticos (Anexo II). Asimismo, considera gran empresa a aquella que supere los límites máximos respecto a una mediana empresa (según la Recomendación 2003/361/CE una mediana empresa ocupa entre 50 y   250 empleados, tiene un volumen de negocios que no excede los 50 millones EUR y un balance general anual que no excede los 43 millones EUR).

Como se señala en el artículo 21 de la Directiva NIS2, las entidades esenciales e importantes deberán gestionar los riesgos respecto a la seguridad de redes y sistemas de información que utilizan en sus operaciones o para la prestación de sus servicios, a la vez que minimizar las repercusiones de los potenciales incidentes de seguridad que puedan producirse.

Las medidas deberán ser proporcionales al riesgo teniendo en consideración el grado de exposición de la entidad a los riesgos, el tamaño de la entidad y la probabilidad de que se produzcan incidentes y su gravedad, incluidas las repercusiones sociales y económicas.

El precitado artículo 21 de la Directiva NIS2 establece de forma generalista diez (10) agrupaciones de requisitos o medidas de seguridad mínimas que cada entidad deberá implementar.

En España disponemos del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS), que incluye todos los requisitos de la Directiva NIS2. El ENS es de obligado cumplimiento en España para todo el sector público (estatal, autonómico y local), para los proveedores que le aportan soluciones o le prestan servicios y, de forma voluntaria, para cualquier organización que desee mejorar su ciberseguridad. Adicionalmente, es una norma jurídica certificable, lo que permite evidenciar el cumplimiento.

Asimismo, la Directiva NIS2 obliga a las entidades esenciales e importantes a notificar cualquier incidente significativo a su equipo de respuesta a incidentes de seguridad informáticos (CSIRT) de referencia.

El Centro Criptológico Nacional (CCN) ha publicado la guía CCN-STIC 892que corresponde al “Perfil de Cumplimiento Especifico para organizaciones en el ámbito de aplicación de la Directiva NIS2 (PCE-NIS2)” donde se detalla todo lo necesario para cumplir con las disposiciones de la Directiva NIS2 a partir del ENS, ya sea para una entidad esencial o entidad importante, en espera de la transposición de la misma al derecho nacional.

Las 10 medidas generales para la gestión de riesgos de ciberseguridad a que hace referencia el artículo 21 de la Directiva NIS2, se mapean en una tabla de la precitada guía del PCE-NIS2 con aquellas de las 73 medidas del ENS relevantes para darles cumplimiento. Asimismo, las concreta en una Declaración de Aplicabilidad de forma diferenciada para las entidades esenciales y para las entidades importantes.

El Perfil de Cumplimiento Especifico para organizaciones en el ámbito de aplicación de la Directiva NIS2 (PCE-NIS2) publicado en la guía CCN-STIC 892 es una vía reconocida para certificarse del Esquema Nacional de Seguridad (ENS).

Actualmente existen en España múltiples sistemas de información certificados de conformidad con el ENS: más de 1.100 de forma estándar y más de 260 en base a algún Perfil de Cumplimiento Específico, como lo es el PCE-NIS2.

Al haberse establecido el proceso de certificación de la conformidad con el ENS a finales del año 2016, en estos aproximadamente 8 años se han incorporado múltiples organismos de certificación: Entidades de Certificación (ECs) acreditadas por ENAC y Órganos de Auditoría Técnica de la Administración (OATs) reconocidos por el CCN.

Asimismo, asesoran en España múltiples organizaciones que proporcionan servicios de consultoría especializada para la implantación del ENS, adaptándola a la realidad de cada entidad que los requiera y de los sistemas de información involucrados. Evidentemente sus servicios engloban tanto el ENS estándar como los Perfiles de Cumplimiento Específico como el PCE-NIS2.

El artículo 33 sobre capacidad de respuesta a incidentes de seguridad del RD 311/2022 por el que se regula el ENS, de acuerdo con lo que dispone el artículo 11 del Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información (Transposición de la Directiva NIS1), señala:

• La estructura denominada CCN-CERT del Centro Criptológico Nacional, adscrito al Centro Nacional de Inteligencia y dependiente del Ministerio de Defensa, ejercerá la coordinación nacional de la respuesta técnica de los equipos de respuesta a incidentes de seguridad informática (CSIRT) del sector público en España, en materia de seguridad de las redes y sistemas de información, ejerciendo asimismo la función de enlace para garantizar la cooperación transfronteriza de los CSIRT de las Administraciones públicas con los CSIRT internacionales.
• La estructura denominada INCIBE-CERT adscrita a la M.E. Instituto Nacional de Ciberseguridad de España M.P., S.A., dependiente del Ministerio de Asuntos Económicos y Transformación Digital, actuará como el centro de respuesta a incidentes de seguridad de referencia para los ciudadanos y entidades de derecho privado en España.
• La estructura denominada ESPDEF-CERT del Mando Conjunto del Ciberespacio (MCCE), adscrito al Ministerio de Defensa, actuará como capacidad de respuesta de incidentes de seguridad de referencia para el ámbito de la Defensa nacional, interviniendo siempre que un operador sufra un incidente que por su alcance pudiera tener impacto en el funcionamiento del Ministerio de Defensa o en la operatividad de las Fuerzas Armadas.
• Por último, la Oficina de Coordinación de Seguridad (OCC) del Ministerio del Interior participará asimismo en la coordinación de la respuesta a incidentes de los operadores críticos, según los determina la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas (LPIC) y el Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de protección de dichas infraestructuras.

Todo ello sin menoscabo de lo que pueda disponer en un futuro la transposición de la Directiva NIS2 cuando entre en vigor tras su publicación en el BOE.

Se presenta una lista no exhaustiva derivada del Anexo I de la Directiva NIS2:

1. Energía
   • Electricidad (Empresas eléctricas, gestores de la red de distribución, gestores de la red de transporte, productores, operadores designados para el mercado eléctrico, servicios de agregación o almacenamiento de energía, operadores encargados de la gestión y explotación de un punto de recarga)
   • Operadores de sistemas urbanos de calefacción y refrigeración.
   • Crudo (Operadores de oleoductos, operadores de producción, instalaciones de refinado y tratamiento, almacenamiento y transporte, entidades centrales de almacenamiento).
   • Gas (Empresas suministradoras de gas, gestores de la red de distribución, gestores de la red de transporte, gestore de almacenamiento, gestores de la red de GNL, compañías de gas natural, operadores de instalaciones de refinado y tratamiento de gas natural).
   • Hidrógeno (Operadores de producción, almacenamiento y transporte).
2. Transporte
   • Transporte aéreo (Compañías aéreas, entidades gestoras de aeropuertos, aeropuertos, entidades que explotan instalaciones anexas dentro de los recintos de los aeropuertos, operadores de control de la gestión del tráfico que prestan servicios de control del tráfico aéreo).
   • Transporte por ferrocarril (Administradores de infraestructuras, empresas ferroviarias).
   • Transporte marítimo y fluvial (Empresas de transporte marítimo, fluvial y de cabotaje, tanto de pasajeros como de mercancías, organismos gestores de los puertos incluidas sus instalaciones portuarias y entidades que operan obras y equipos que se encuentran en los puertos, operadores de servicios de tráfico de buques (STB)).
   • Transporte por carretera (Autoridades varias responsables del control de la gestión del tráfico, excluidas las entidades públicas para las cuales la gestión del tráfico o la explotación de sistemas de transporte inteligentes sea una parte no esencial de su actividad general, operadores de sistemas de transporte inteligentes).
3. Banca
   • Entidades de crédito.
4. Infraestructuras de los mercados financieros
   • Gestores de centros de negociación.
   • Entidades de contrapartida central (ECC).
5. Sector sanitario
   • Prestadores de asistencia sanitaria.
   • Laboratorios de referencia de la UE.
   • Medicamentos (Entidades que realizan actividades de investigación y desarrollo de medicamentos, entidades que fabrican productos farmacéuticos de base y especialidades farmacéuticas, entidades que fabrican productos sanitarios que se consideran esenciales en situaciones de emergencia de salud pública).
6. Agua potable
   • Suministradores y distribuidores de aguas destinadas al consumo humano (excluidos los distribuidores para los que la distribución de aguas destinadas al consumo humano sea una parte no esencial de su actividad general de distribución de otros bienes y productos básicos).
7. Aguas residuales
   • Empresas dedicadas a la recogida, la eliminación o el tratamiento de aguas residuales urbanas, domésticas o industriales (excluidas las empresas para las que la recogida, la eliminación o el tratamiento de aguas residuales urbanas, domésticas o industriales sea una parte no esencial de su actividad general).
8. Infraestructura digital
   • Proveedores (de puntos de intercambio de internet, de servicios de DNS excluidos los operadores de servidores raíz, de nombres de dominio de primer nivel, servicios de computación en la Nube, servicios de centro de datos, de redes de distribución de contenidos, de servicios de confianza, de redes públicas de comunicaciones electrónicas, de servicios de comunicaciones electrónicas disponibles para el público).
9. Gestión de servicios TIC B2B (de empresa a empresa)
   • Proveedores de servicios gestionados.
   • Proveedores de servicios de seguridad gestionados.
10. Entidades de la Administración pública, con exclusión del poder judicial, los parlamentos y los bancos centrales
    • Entidades de la Administración pública central (tal como se definen en el Estado miembro con arreglo a las disposiciones del Derecho nacional).
    • Entidades de la Administración pública a escala regional (según su definición en el Estado miembro con arreglo a las disposiciones del Derecho nacional).
11. Espacio
    • Operadores de infraestructuras terrestres (cuya propiedad, gestión y explotación descansa en los Estados miembros o en entidades privadas, que apoyan la prestación de servicios espaciales, excepto los proveedores de redes públicas de comunicaciones electrónicas).

Se presenta una lista no exhaustiva derivada del Anexo II de la Directiva NIS2:

1. Servicios postales
   • Proveedores de servicios postales (incluidos los proveedores de servicios de mensajería).
2. Gestión de residuos
   • Empresas que realizan la gestión de residuos (excepto aquellas para las que la gestión de residuos no es su principal actividad económica).
3. Fabricación, producción y distribución de sustancias y mezclas químicas
   • Empresas que realizan la fabricación de sustancias y la distribución de sustancias o mezclas (incluidas empresas que realizan la producción de artículos a partir de sustancias y mezclas.
4. Producción, transformación y distribución de alimentos
   • Empresas alimentarias (que se dediquen a la distribución al por mayor y a la producción y transformación industriales).
5. Fabricación
   • Fabricación de productos sanitarios y productos sanitarios para diagnóstico in vitro (Entidades que fabrican los productos sanitarios y entidades que fabrican los productos sanitarios para diagnóstico in vitro, con algunas excepciones).
   • Fabricación de productos informáticos, electrónicos y ópticos.
   • Fabricación de material eléctrico.
   • Fabricación de maquinaria y equipos no comprendidos en otras partes.
   • Fabricación de vehículos de motor, remolques y semirremolques.
   • Fabricación de otro material de transporte.
6. Proveedores de servicios digitales
   • Proveedores de mercados en línea.
   • Proveedores de motores de búsqueda en línea.
   • Proveedores de plataformas de servicios de redes sociales.
7. Investigación
   • Organismos de investigación. 

El transporte público no está explícitamente cubierto por la NIS2. Sin embargo, en su artículo 2 (apartado 3), se señala que la Directiva se aplica a las entidades que se identifiquen como entidades críticas con arreglo a la Directiva 2022/2557 (Directiva CER). Esta última directiva cubre bajo el sector de “Transporte” (2), el subsector de “Transporte público” (e) y más específicamente “los operadores de servicio público tal y como se define en el artículo 2, punto (d) del Reglamento (CE) No 1370/2007 del Parlamento Europeo y del Consejo (13)”.

Por tanto, todas las entidades del sector de transporte público, identificadas bajo la Directiva CER, caerán automáticamente bajo el alcance de la NIS2.

Dentro de los sectores críticos que entran dentro del ámbito de aplicación de la NIS2, se encuentra la “producción, transformación y distribución de alimentos” realizada por “empresas alimentarias” definidas en el Reglamento (EC) 178/2002 (“cualquier empresa, con o sin fines de lucro, pública o privada, que lleve a cabo cualquiera de las actividades relacionadas con cualquier etapa de la producción, transformación y distribución de alimentos”).

No obstante, la propia Directiva NIS2 limita este sector a aquellas empresas que se “dediquen a la distribución al por mayor y a la producción y transformación industriales”.

Sí, el artículo 6 (39) de la NIS2 define a los proveedores de servicios gestionados como una entidad que presta servicios relacionados con la instalación, la gestión, la explotación o el mantenimiento de productos, redes, infraestructuras o aplicaciones de TIC o cualesquiera otros sistemas de redes y de información [...]. La definición se refiere explícitamente a actividades llevadas a cabo en las instalaciones del cliente o a distancia.

Cada una de estas tareas (instalación, gestión, explotación y mantenimiento) no son excluyentes unas de otras y una entidad puede acometer una o varias de ellas.

El proveedor de servicios de seguridad gestionados, como parte de las medidas de gestión de riesgos de ciberseguridad, puede prestar servicios de gestión de incidentes en caso de emergencia.

Tal y como recoge el artículo 6 (40) de la NIS2, el proveedor de servicios de seguridad gestionados es aquel que “lleva a cabo actividades relativas a la gestión de riesgos de ciberseguridad o presta asistencia para ello”. Ejemplos de estos servicios pueden encontrarse en el artículo 21 (2) que aglutina diversas medidas de gestión de riesgos de ciberseguridad como el análisis de riesgos, la gestión de incidentes, la seguridad de la cadena de suministro o los planes de continuidad.

El artículo 6, punto (20)(b) de la Directiva NIS2 define a los proveedores de servicios de DNS como “una entidad que presta: (a) servicios a disposición pública de resolución recursiva de nombres de dominio para usuarios finales de internet, o (b) servicios de resolución autoritativa de nombres de dominio para uso por terceros, con excepción de los servidores raíz”.

En este último caso, se considera que se prestan los servicios de resolución autoritativa de nombre de dominio para uso por terceros cuando estos servicios se proveen a personas legales o naturales distintas a la entidad en sí misma. Este es el caso cuando los servidores de nombres autoritativos de un dominio no son operados por el registrante de este dominio, sino que este servicio es proporcionado por otra entidad.

Los proveedores de servicios de alojamiento web o hosting no están recogidos como este  tipo ni en el anexo I (en infraestructura digital se menciona a proveedores de servicios DNS, registros de nombres de dominio, servicios de computación en nube, servicios de centro de datos, redes de distribución de contenidos, servicios de confianza, redes públicas de comunicaciones electrónicas, comunicaciones electrónicas disponibles para el público) ni en el II (proveedores de servicios digitales) y por lo tanto no estarían dentro del alcance de la Directiva NIS2. Sin embargo, en muchos casos, existirán entidades que estarán dentro del alcance de la NIS2 al prestar otro tipo de servicios (como servicio de hosting en la nube, servicios de Data Center o servicios de resolución de nombre de dominio autoritativo) y a su vez proveen también servicios de alojamiento web.

El artículo 20(1) y (2) de la Directiva NIS2 se refiere específicamente a las obligaciones de los órganos de dirección y sus miembros. El considerando 137 explica que la Directiva “debe aspirar a garantizar un nivel elevado de responsabilidad por las medidas para la gestión de riesgos de ciberseguridad y las obligaciones de notificación a nivel de las entidades esenciales e importantes”. El considerando añade por esta razón, que “los órganos de dirección de las entidades esenciales e importantes deben aprobar las medidas de gestión de riesgos de ciberseguridad y supervisar su aplicación”.

Por tanto, si las entidades delegaran las responsabilidades referidas en el artículo 20 a otros miembros de su personal, el objetivo del artículo no se cumpliría adecuadamente. Por tanto, dicha delegación no debería permitirse.