1 13 Table of Contents 15 124

Red Seguridad 103

14 red seguridad cuarto trimestre 2023 monográfico servicios esenciales Los plazos para la trasposición de la Di- rectiva EU 2022/2555, conocida como NIS 2, ya han empezado a correr y los organismos encargados de su trasposi- ción se enfrentan al reto de buscar so- luciones a los desafíos que supone esta nueva normativa, cuyo objetivo final es conseguir un elevado nivel de ciberse- guridad en todos los países de la Unión Europea. Para ello se han identificado todos los sectores de alta criticidad (11) y otros sectores críticos (7), y dentro de éstos se han clasificado a las entidades en esen- ciales e importantes. Toda empresa me- diana o grande que esté dentro de estos sectores se verá afectada por la nueva ley resultante de la trasposición. Eso sí, he de destacar que, desde el punto de vista de la ciberseguridad, la Directiva no distingue de forma especial a las entidades o infraestructuras críticas, re- legando este concepto a la Directiva EU 2022/2557, donde se tratan los aspec- tos de la seguridad física. El principal reto será para las miles de empresas que se van a ver afectadas por la norma, las cuales tendrán que hacer frente de una forma más rigurosa y for- mal a las tareas de gobernanza de la ciberseguridad y a nuevas obligaciones de notificación sobre los ciberincidentes que les puedan afectar. Medidas de ciberseguridad La Directiva establece a alto nivel las medidas de ciberseguridad que se de- ben implantar. La aproximación a cómo exigir a las organizaciones que cumplan con ellas es uno de los temas de trabajo de trasposición más importantes, dado el gran impacto que puede tener. Un alto nivel de exigencia supondría conseguir un mayor nivel de ciberseguridad, pero también un mayor esfuerzo para las compañías el conseguirlo. Por el contra- rio, un nivel bajo de exigencia puede ser mucho más deseable, pero dejaría a las empresas poco protegidas frente a las crecientes amenazas de ciberseguridad. Todo apunta a que, para conseguir la necesaria proporcionalidad, se intentará encontrar una solución que sea flexible y adaptable a los distintos sectores, ya sea por la vía de los perfiles de cumpli- miento específico del Esquema Nacional de Seguridad o de directrices de normas internacionales. Exigir y verificar el cumplimiento de la nueva ley será, por otro lado, un reto para las administraciones públicas en- cargadas de esta tarea. La normativa actual establece muchas autoridades competentes, pero la realidad es que, en general, cuentan con pocos medios para poder entrar en el mundo de la ci- berseguridad de sus sectores. En este sentido, uno de los retos del grupo de trasposición será revisar el número de autoridades competentes necesarias y buscar la forma de facilitar el cum- plimiento de su labor de supervisión y control sobre cada ámbito de competen- cia. La exigencia de una certificación de las medidas de ciberseguridad sería un buen camino para facilitar la labor de su- pervisión, sin necesidad de crear nuevos grupos de trabajo con expertos en ciber- Trasposición de la NIS 2: retos para la ciberseguridad nacional A ntonio P érez Consejero técnico del Centro Criptológico Nacional Exigir y verificar el cumplimiento de la nueva ley será un reto para la Administración

RkJQdWJsaXNoZXIy MTI4MzQz