Los tiempos en los que un antivirus y sentido común garantizaban la ciberseguridad de una organización, quedan lejos en el retrovisor. Especialmente, si trabajas en un sector crítico. Por eso, la Directiva NIS2 (2022/2555) de la Unión Europea establece las obligaciones de ciberseguridad para dichas actividades clave… y las consecuencias de no cumplirlas.
Estas últimas son importantes, así que analicemos la normativa, cuándo corresponde aplicarla y cómo debemos hacerlo.
- Qué es la Directiva NIS2 y qué cambia respecto a NIS1
- Quién está obligado a cumplir la Directiva NIS2
- Cumplimiento de la NIS2 por pequeñas empresas y microempresas
- Requisitos clave de la NIS2 en ciberseguridad
- Seguridad de sistemas según la NIS2
- Actuación y gestión de incidentes según la NIS2
- SIEM e IPS/IDS como elementos clave para cumplir la Directiva NIS2
- Requisitos de recolección de logs según NIS2
- Cómo Pandora FMS y Pandora SIEM ayudan a cumplir con la NIS2
Qué es la Directiva NIS2 y qué cambia respecto a NIS1
Los actores maliciosos cada vez más sofisticados (estatales o no), la omnipresencia del malware o la proliferación de brechas de datos dejan clara una cosa:
La Unión Europea debe mejorar su gestión de ciberseguridad en sectores críticos y la directiva NIS1 ya no era suficiente.
Por eso, en noviembre de 2022 se aprobó la nueva directiva NIS2, que afecta a las llamadas entidades esenciales e importantes, y los diversos países ya la están aplicando con este horizonte temporal:
- 16/01/2023. Entrada en vigor.
- 18/10/2024. Derogación de la NIS1. Adopción y publicación de las medidas por estados miembros.
- 17/01/2025. Comienza la actuación de las redes estatales de CSIRT (Computer Security Incident Response Team) y se establece el régimen sancionador.
- 17/04/2025. Fin del plazo para elaboración del registro de entidades esenciales e importantes. Comunicación del número de las mismas a la Comisión y Grupo de Cooperación. Comienzo de las evaluaciones de las estrategias nacionales de ciberseguridad (al menos cada 5 años).
¿Y qué cambia respecto a la NIS1?
- Requisitos de seguridad más estrictos.
- Mayor control de cumplimiento.
- Sanciones más elevadas (máximo 10 millones de euros o 2% de la facturación a entidades esenciales y 7 millones de euros o 1,4% de facturación a entidades importantes).
- Ampliación de lo que se considera entidad esencial o importante.
Esto es clave, porque muchas organizaciones que no se veían obligadas a la NIS1 sí entran ahora dentro del ámbito de aplicación de la NIS2.
Quién está obligado a cumplir la Directiva NIS2
La directiva se aplica con carácter general a empresas medianas y grandes, ya sean públicas o privadas, que operen en sectores de alta criticidad (los establecidos en el Anexo I de la Directiva) y otros sectores críticos (los incluidos en el Anexo II).
Así pues, lo primero a considerar es el tamaño de la organización:
- Mediana empresa es la que tiene entre 50 y 250 empleados y un volumen de negocio de hasta 50 millones de euros, o un balance que supere los 43 millones.
- Gran empresa es la que sobrepasa esas condiciones: más de 250 empleados y volumen de negocio o balance de 43 millones de euros o más.
¿Y cuáles son esos sectores críticos y altamente críticos?
La lista es más amplia que la NIS1 que, por ejemplo, consideraba al sector energía como altamente crítico. Pero ahora, la NIS2, dentro de dicho sector, ha añadido a los sistemas urbanos de climatización o hidrógeno, que la NIS1 excluía.
El Anexo I de alta criticidad incluye:
- Energía.
- Transporte.
- Sanidad.
- Banca.
- Agua potable y residual.
- Infraestructuras financieras y digitales (proveedores de dominios, cloud, etc.).
- Gestión de servicios TIC B2B.
- Algunas Administraciones públicas.
- Espacio.
En el Anexo II de sectores críticos encontramos:
- Servicios postales y de mensajería.
- Gestión de residuos.
- Fabricación, producción y distribución de sustancias químicas y alimentos.
- Fabricación de productos clave (sanitarios, eléctricos y electrónicos, informáticos, maquinaria y transporte).
- Proveedores de servicios digitales (buscadores, marketplaces en línea y proveedores de redes sociales).
Si una organización es mediana o grande, y opera en estos ámbitos, la NIS2 debe estar como lectura en su mesilla de noche.
Nuestra recomendación práctica es descargar esta guía del INCIBE que detalla más claramente esos Anexos con actividades. Así solo perderemos las dioptrías justas entre las líneas de la Directiva.
Cumplimiento de la NIS2 por pequeñas empresas y microempresas
Tras lo anterior, la pregunta es clara: «Si soy microempresa o pequeña empresa, ¿entonces no me afecta?».
La respuesta correcta es la palabra más temida: «Depende».
Porque la ley dice que pequeñas empresas y microempresas que tengan un papel clave para la sociedad, la economía o ciertos tipos de servicios fundamentales, también están obligadas.
Son entidades críticas (definidas en el artículo 6 de la directiva UE 2022/2557), las que prestan servicios esenciales y en las que “un incidente tendría efectos perturbadores significativos”. En ese caso, aunque fuera una organización de menor tamaño, también estaría bajo la directiva.
Pero la propia NIS2, en su consideración inicial número 20, comprende implícitamente que esta definición es compleja. Por eso, cada estado miembro de la unión debe decidir si una pequeña empresa es crítica y proporcionarle pautas e información para que pueda cumplir la ley.
Recomendación práctica: Si se sospecha que lo anterior podría aplicarse a una organización, por pequeña que sea, mejor consultar con el INCIBE u otro organismo similar del país en cuestión.
Requisitos clave de la NIS2 en ciberseguridad
Si se está obligado, la siguiente cuestión lógica es: «¿A qué, exactamente?».
La normativa establece unos mínimos en su artículo 21.2. Estos pretenden que la seguridad europea esté unificada y abarcan todo el proceso de la misma: desde prevención a respuesta ante incidentes, pasando por defensa de sistemas de información, garantía de continuidad de la actividad y concienciación y formación del personal.
Cada país de la UE debe integrar la NIS2 en sus leyes, y la directiva tiene un margen a la interpretación, lo que provoca inseguridad en el día a día de los CISOs. Sobre todo, cuando se establece que las medidas deben ser: proporcionadas al tamaño, coste y riesgo de la actividad y tener en cuenta el estado de la técnica.
Como pasa siempre en tecnología, no puedes dar indicaciones prácticas concretas porque, en el momento en el que las pones en un papel, para entonces seguramente hayan quedado obsoletas. De ahí lo de “tener en cuenta el estado de la técnica”, como frase para decir que debemos estar a la vanguardia de la misma.
Además, qué es proporcionado o no puede quedar a discreción de quien aplica la norma, de modo que mejor curarse en salud con estas consideraciones prácticas.
Seguridad de sistemas según la NIS2
Debemos demostrar que somos capaces de defender la organización crítica, y eso implica dos vertientes.
La primera es construir una infraestructura fuerte, un castillo de murallas resistentes bien gestionado por nuestro NOC (Network Operations Center), lo que significa principalmente:
- Un hardening de servidores y endpoints, blindando cada elemento con las mejores prácticas.
- Una buena gestión de los accesos a esas murallas, con autenticación multifactor y una política estricta de accesos e identidades, tanto de usuarios como de dispositivos.
- Sistemas de cifrado, backup, redundancias y lo necesario para la resiliencia y continuación de las operaciones que exige la NIS2.
La segunda vertiente es que, una vez construidas unas murallas robustas, las defendamos activamente, lo que implica:
- El uso de EDR (Endpoint Detection and Response).
- Sistemas de detección y prevención de intrusiones (IPS/IDS) para una monitorización de seguridad adecuada.
- Uso de SIEM (Security Information and Event Management).
Actuación y gestión de incidentes según la NIS2
Este es otro punto clave de la ley, que exige:
- La comunicación rápida y clara de dichos incidentes (al CSIRT ya nombrado) en 24 horas o menos desde el descubrimiento.
- La gestión adecuada de los mismos.
Considerando lo cuantiosas que son las sanciones de la NIS2 por alguna dejación en estos aspectos, es interesante profundizar un poco más.
SIEM e IPS/IDS como elementos clave para cumplir la Directiva NIS2
Para una organización crítica es imprescindible el uso de sistemas SIEM y de detección de amenazas a la hora de una defensa suficiente.
En combinación con los EDRs que protegen los endpoints, y los IDS e IPS que operan a nivel red y host, un sistema como Pandora SIEM es el equivalente al cerebro de tu operación de seguridad, ya que:
- Recolecta logs: De redes, servidores y hasta la cafetera de la oficina, porque se nos ocurrió comprarla “inteligente”.
- Correlaciona eventos: Si alguien en Bangladesh accede al servidor en Barcelona y ese “empleado” descarga un archivo extraño, el SIEM une los puntos y actúa, alertando y mitigando. Las funcionalidades IA de Pandora, por ejemplo, hacen que esa correlación sea aún más efectiva.
- Genera informes automáticos, para que no tengas que quemarte las pestañas con Excel en la auditoría.
De esta forma, nos aseguramos de tener siempre en cuenta “el estado de la técnica” y sus avances.
Requisitos de recolección de logs según NIS2
Podemos ser los mejores en seguridad, pero el proverbio siempre tiene razón: No se trata de si ocurrirá un incidente, sino de cuándo ocurrirá.
Los requisitos de actuación y comunicación que establece la NIS2 requieren una recolección, almacenamiento y gestión adecuada de logs, que también necesitaremos para pasar las revisiones a las que estaremos obligados.
Porque sí, el Capítulo VII (Artículo 32) es claro al respecto y debemos ser capaces de pasar esas auditorías y revisiones, incluso en ausencia de incidentes. Eso significa recogida, almacenaje y revisión sencilla de registros, garantizando su integridad y veracidad.
Para una organización crítica, esto implica herramientas profesionales que nos hagan la vida fácil en este sentido.
La tentación de aplicaciones gratuitas es poderosa, pero no alcanzan para las amenazas actuales que sobrevuelan los sectores clave… Ni para asegurar que el auditor no levante la ceja y acaricie el sello de “no apto”.
Cómo Pandora FMS y Pandora SIEM ayudan a cumplir con la NIS2
Todo lo que no sean las mejores prácticas de seguridad, apoyadas con herramientas avanzadas, es insuficiente para una organización crítica, nos complica el trabajo y el cumplimiento de la ley.
Por eso, Pandora SIEM permite:
- La monitorización de seguridad avanzada con detección de amenazas en tiempo real.
- Una correlación de eventos de seguridad apoyada por IA, en la punta de lanza de las mejores prácticas y tecnología de seguridad que exige la NIS2.
- La generación de informes que demuestran el cumplimiento normativo en auditorías y controles.
- La recogida, centralización y análisis de logs, con retención prolongada, para una comunicación clara en caso de incidente y una resolución más fácil de este, detectando de un vistazo qué ha pasado, cómo y dónde.
La NIS2 es la respuesta europea a un escenario global más agitado que nunca en ciberseguridad, pero afrontémoslo, las leyes sobre tecnología suelen ir un paso por detrás de esta y, en ocasiones, resultar nebulosas en el ámbito o la interpretación.
Esto causa pesadillas a CISOs y profesionales para el cumplimiento, pero la solución es clara: Adelantarnos a la legislación. Ponernos a la vanguardia de las mejores prácticas y herramientas para que, cuando la normativa de turno descienda con el peso de sus mil folios, estemos un paso más allá y no caiga en nuestras cabezas.
De esta forma, nos aseguraremos de que las líneas de la ley no se unirán a las de código malicioso para complicarnos el día a día.
Siempre con un teclado entre manos, desde el primer ZX Spectrum que abrí de par en par para ver cómo funcionaba, la tecnología ha sido mi pasión y trabajo, de lo que hablo y lo que escribo.
Always with a keyboard in my hands, ever since I opened up my first ZX Spectrum wide to see how it worked, technology has been my passion and my work, what I speak about and what I write about.
