Ciberseguridad en la UE: Directiva NIS2 y Reglamento DORA

23 May

Desde hace algunos años el proceso de digitalización se ha acelerado de manera vertiginosa y la manera de relacionarnos entre los seres humanos ha cambiado por completo. Atrás quedó la desconfianza que generaban los trámites online; hoy en día es un procedimiento totalmente normalizado.

Realizamos compras y ventas online, disfrutamos de la ventajas de las redes sociales y gestionamos ciertos trámites ante organizaciones de carácter público y privado. Al hacerlo, ofrecemos a otras organizaciones muchos datos de carácter personal o sobre nuestra empresa, que deben protegerse de ataques externos mediante la ciberseguridad.

La ciberseguridad es un conjunto de medidas y herramientas que se encargan de la protección de equipos, redes, aplicaciones de software, sistemas críticos y datos. Se trata de una barrera ante las posibles amenazas que pueden intervenir en la conexión con el entorno digital. Las organizaciones son responsables de la protección de estos datos personales confidenciales para mantener la confianza de los usuarios y cumplir con el reglamento de ciberseguridad.

¿Qué es la normativa NIS2?

La normativa o Directiva NIS2, también conocida como Directiva (UE) 2022/2555, establece la legislación en materia de ciberseguridad a escala de la Unión Europea y proporciona las medidas legales necesarias para impulsar el nivel general de ciberseguridad en la UE. Se centra en la regulación de redes y sistemas de información.

Proporciona un nivel común de ciberseguridad en todos los Estados miembros de la Unión Europea y busca armonizar las medidas y enfoques entre los Estados para proteger las infraestructuras digitales de los ciberataques dirigidos a las organizaciones de la eurozona.

Objetivos Directiva NIS2

El objetivo principal de la Directiva NIS2 es brindar protección frente a las ciber amenazas a los principales sectores económicos de la Unión Europea. Tanto los estados miembros como las empresas y organizaciones deben adoptar medidas de ciberseguridad antes de octubre de 2024, incorporando nuevas herramientas, política y procedimientos.

Esta se centra en las organizaciones de tamaño grande y mediano, pero también destaca la importancia de mejorar la ciberseguridad y los servicios críticos en las pequeñas empresas. Otro de los objetivos de la NIS2 es eliminar las divergencias que se han dado hasta ahora entre los estados miembros de la UE en la aplicación de la directiva NIS (aplicada en 2016) sobre la seguridad de las redes y de sistemas de información.

Pretende definir las normas básicas del funcionamiento de un marco regulador coordinado y establecer unos mecanismos determinados para que las autoridades competentes de cada Estado cooperen de manera eficiente. También pretende añadir más sectores y actividades que se encuentran sujetos a las obligaciones de ciberseguridad y proponer algunas vías de recurso y medidas de ejecución eficaces para que estas obligaciones se puedan cumplir.

¿A quién está destinada la Directiva NIS2?

La normativa NIS2 está destinada a ofrecer una cobertura completa de aquellos sectores y servicios vitales en la realización de actividades sociales y económicas en el mercado interior de cada Estado miembro de la UE.

Tal y como se especifica más detalladamente en el Artículo 2 «Ámbito de aplicación» recogido en el Boletín Oficial del Estado que puedes consultar aquí, se dirige a empresas y organizaciones grandes y medianas que presten ciertos
servicios o lleven a cabo las actividades que se incluyen en la Directiva NIS2, pero las pequeñas empresas y las microempresas también pueden aplicarla, siempre que quede demostrado que cumplen un papel clave para la sociedad, la economía o para determinados sectores o servicios.

¿Qué es el reglamento Dora?

El reglamento de ciberseguridad DORA (Digital Operational Resilience Act o Ley de Resiliencia Operativa Digital) es una regulación de la Unión Europea que crea un marco vinculante y exhaustivo para la gestión frente a los riesgos que presentan las Tecnologías de la Información y de la Comunicación (TIC) dentro del sector financiero de la UE. Este reglamento de ciberseguridad de la UE establece las normas técnicas que las entidades financieras y sus terceros proveedores de servicios tecnológicos deben integrar en sus sistemas TIC antes de 2025.

¿Qué implica el reglamento DORA?

El reglamento de ciberseguridad DORA se encarga de abordar de manera exhaustiva la gestión del riesgo de las Tecnologías de la Información y de la Comunicación (TIC) dentro del sector de los servicios financieros. También sirve para armonizar las normativas preexistentes en los estados miembros de la UE sobre la gestión del riesgo de las TIC.

Antes de la aplicación del reglamento DORA, la normativa preexistente se centraba, únicamente, en garantizar que las empresas dispusieran del capital suficiente para cubrir los riesgos en caso de ciberataque, pero no se aplicaba a todas las entidades financieras por igual y cada Estado miembro aplicó sus propios requisitos, generando una amalgama de normativas difícil de gestionar.

Con la aplicación del reglamento DORA, se establece un marco universal para gestionar y hacer frente al riesgo de las TIC en el sector financiero. Al hacerlo, se evitan lagunas legales, solapamientos y conflictos entre las normativas de los distintos estados de la UE. Así, todas las entidades se pueden regir por las mismas normas.

Diferencias principales entre Directiva NIS2 y Reglamento DORA

Aunque el Reglamento DORA y la Directiva NIS2 se publicaron el mismo día, el 27 de diciembre del pasado año 2022, y ambas se dedican a la ciberseguridad a nivel de la Unión Europa, tienen grandes diferencias. La primera de ellas es
que mientras la NIS2 es una Directiva, DORA es un Reglamento. En el primer caso, se aplica a aquellas organizaciones que se consideran entidades esenciales e importantes y, en el segundo, únicamente se aplica a las entidades financieras.

En cuanto al nivel de protección, la Normativa NIS2 hace énfasis en las medidas de seguridad, mientras que el Reglamento DORA, además de subrayar las medidas de ciberseguridad, también hace énfasis en la resiliencia general de las entidades financieras. Su entrada en vigor también difiere, ya que, la primera entrará el 18 de octubre de 2024 y la segunda, el 17 de enero de 2025.