Red Seguridad 103

58 red seguridad cuarto trimestre 2023 monográfico servicios esenciales A finales de 2022, la Unión Europea (UE) adoptó formalmente la nueva Di- rectiva de ciberseguridad 2022/2555 (Directiva NIS 2), destinada a sustituir y derogar la actual Directiva de la UE sobre seguridad de sistemas y redes de información (2016/1148, Directiva NIS). Esta última fue la primera legislación de dicho territorio en ciberseguridad, y si bien aumentó las capacidades de los Estados miembros en esta materia, su aplicación resultó difícil. Esto dio lugar a la fragmentación de las disposiciones a diferentes niveles en todo el mercado interior. Para responder a las crecientes cibe- ramenazas que plantea la digitalización, la UE adoptó la Directiva NIS 2. El obje- tivo es alcanzar un nivel de ciberseguri- dad dentro de la UE más elevado que el que ha tenido en virtud de la Directiva NIS. También tiene por objeto promover una mayor armonización de las normas de ciberseguridad en todos los Estados miembros de la UE. Dado que la implementación de la Di- rectiva NIS resultó compleja para las em- presas y entidades públicas, decidimos analizar la Directiva NIS 2 e identificar los retos potenciales asociados a la nue- va normativa. Así, las recomendaciones que se presentan a continuación se elabora- ron sobre la base de un análisis de los reglamentos y la determinación de los problemas relacionados con la aplica- ción e implementación práctica de la Directiva NIS 2. Teniendo en cuenta a quién se dirige esta regulación, las re- comendaciones se dividen en las dirigi- das a las entidades empresariales y las dirigidas a los órganos administrativos que la aplican. Las recomendaciones ponen de re- lieve las cuestiones clave que pueden plantear un problema y que pueden re- solverse en una fase legislativa avanza- da de la aplicación de la Directiva NIS 2. Entidades empresariales Las recomendaciones para entidades empresariales son: 1. Concienciación legislativa. Un ele- mento clave para abordar los cambios en la ley es la concienciación sobre las próximas regulaciones a todos los niveles de la organización, tanto de dirección como de los empleados, cuyo trabajo se verá afectado por la próxima regulación. Actos legislativos como la Directiva NIS 2 (pero también la próxima Ley de Resiliencia Operativa Digital, DORA, y la Ley de Resiliencia Cibernética,CRA) no solo deberían ser un punto de interés para los departa- mentos legales, sino que, tal como se sugiere en la redacción de la propia Directiva NIS 2, también a nivel de ges- tión en todos los ámbitos pertinentes. 2. Foco en la certificación. Como se indica en la normativa (por ejemplo, la Directiva NIS 2 y la CRA), y también de acuerdo con las acciones tomadas por Enisa, la certificación de ciberse- guridad se asume como la columna vertebral de todo el sistema y permi- tirá garantizar el cumplimiento norma- tivo en algunos casos. Las empresas deben seguir de cerca el desarrollo de Retos para una aplicación eficaz y eficiente de la Directiva NIS 2 J osé Á ngel C apote Responsable de Ciberseguridad y Privacidad de Huawei Technologies España La ampliación de las entidades obligadas afectará a la calidad y precio de los servicios en la UE