Se trata de una normativa de ciberseguridad pionera a escala europea. Sus exigencias son numerosas para garantizar que las organizaciones europeas puedan demostrar un alto nivel común de seguridad informática. Las empresas tendrán que cumplirlas, y rápido.
Estas son las principales novedades de la nueva Directiva SRI 2.
Directiva SRI 2: ampliación del ámbito de aplicación de la Directiva NIS 1
En 2016, el Parlamento Europeo y el Consejo de la Unión Europea adoptaron la Directiva sobre seguridad de las redes y de la información (SRI). Su principal objetivo era aumentar el nivel de ciberseguridad de las grandes organizaciones en una decena de sectores empresariales de alto riesgo. En Francia, esto representaba a un centenar de actores.
A medida que se intensifican las ciberamenazas, en un contexto geopolítico tenso, cada vez son más las empresas e instituciones preocupadas por el riesgo de incidentes informáticos.
Esta es la razón por la que Europa publicó, a finales de 2022, una ampliación de esta Directiva SRI 1, la SRI 2. Su objetivo es ampliar el ámbito de los sectores afectados y reforzar los requisitos en materia de ciberseguridad.
Por ello, esta nueva directiva emplea un «enfoque a todos los riesgos». En otras palabras, obliga a una amplia gama de organizaciones a proteger mejor sus redes y sistemas de información, combinando múltiples ciberestrategias. Entre ellas figuran las siguientes:
- el análisis de riesgos,
- la gestión de incidentes,
- la continuidad de la actividad,
- la seguridad de la cadena de suministro
- y el uso de sistemas de comunicación de emergencia seguros dentro de la organización.
Todos los sectores (o casi) afectados
La Directiva SRI 2 afectará ahora a miles de entidades en más de 18 sectores. Se ven afectadas todas las entidades privadas o públicas con una plantilla de más de 50 personas, o con un volumen de negocios superior a 10 millones de euros. Entre ellas se encuentran las empresas digitales o algunas administraciones públicas, que han sido especialmente blanco de ciberataques en los últimos meses. Estos sectores se clasifican en dos categorías: sectores de alta criticidad y otros sectores críticos.
Los sectores clasificados como de alta criticidad incluyen:
- energía
- transporte
- banca
- infraestructuras de los mercados financieros
- sanidad
- agua potable
- aguas residuales
- infraestructuras digitales
- gestión de servicios de TIC
- administración pública
- espacio
Los sectores considerados como otros sectores críticos son:
- servicios postales y de mensajería
- gestión de residuos
- fabricación, producción y distribución de productos químicos
- producción, transformación y distribución de alimentos
- fabricación
- proveedores de servicios digitales
- investigación
Dos nuevas categorías de entidades
La otra novedad introducida por la Directiva SRI 2 es la clasificación de las entidades en dos categorías distintas: las esenciales y las importantes. Esta clasificación se basa en el nivel de criticidad, el número de empleados y el volumen de negocios mundial de las empresas en cuestión. Una gran empresa emplea al menos a 250 personas o tiene un volumen de negocios anual mínimo de 50 millones de euros. Una empresa mediana emplea al menos a 50 personas o tiene un volumen de negocios anual superior a 10 millones de euros.
Por lo tanto, las entidades esenciales incluirían principalmente grandes empresas de sectores clasificados como de alta criticidad. Las entidades importantes se referirían principalmente a las organizaciones grandes y medianas en los sectores clasificados como otros sectores críticos, y a las organizaciones medianas clasificadas en los sectores de alta criticidad.
Esta distinción permitirá adaptar tanto las exigencias como las sanciones a las organizaciones, de forma proporcional, en función de sus recursos y de las implicaciones relacionadas con la protección de sus datos.
Cabe señalar que, en determinados sectores, el alto nivel de criticidad puede justificar la designación como entidad esencial, independientemente del tamaño de la organización. Es el caso, en particular, de las entidades identificadas como críticas a nivel nacional por la Directiva CER.
Endurecimiento de las sanciones
Por último, la Directiva SRI 2 también refuerza el régimen sancionador. Una organización que no aplique medidas adecuadas de gestión de riesgos o no notifique un incidente de seguridad con la suficiente rapidez se arriesgará a una multa proporcional a su volumen de negocios y nivel de criticidad. Así, las empresas podrán ser sancionadas con multas de entre el 1,4 % y el 2 % de su volumen de negocios, hasta un máximo de 10 millones de euros.
Además, los Estados miembros de la Unión Europea pueden exigir a las entidades que realicen auditorías o inspecciones. En caso necesario, podrán emitir advertencias e instrucciones.
Dos nuevas obligaciones para las organizaciones
Notificación de incidentes de seguridad
Con la Directiva SRI 2, cuando se produzca un incidente de ciberseguridad, las organizaciones dispondrán de 24 horas para notificarlo a la Agencia Nacional de Seguridad de los Sistemas de Información. Este plazo aún no es definitivo y podrá revisarse antes de que la directiva se incorpore a la legislación nacional. No obstante, todas las organizaciones afectadas por la Directiva SRI 2 tendrán que organizarse para reaccionar rápidamente. Esta notificación inicial es similar a un informe preliminar, que deberá completarse con un informe final. El objetivo es mejorar la capacidad de reacción de las autoridades en caso de incidente y rastrear los ciberataques con mayor precisión.
Formación en ciberseguridad para directivos, gerentes y empleados
La formación interna es un punto clave de esta nueva directiva y fomenta la sensibilización masiva en materia de ciberseguridad.
En efecto, el principal reto de la SRI 2 es obligar a aplicar medidas técnicas, pero también y sobre todo medidas operativas y organizativas. Toda la organización debe implicarse en la ciberseguridad, no solo el departamento informático.
Por eso la directiva exige formación en ciberseguridad a los altos directivos, que deben aprobar sistemáticamente todas las medidas de seguridad. Además, los altos directivos que representen a la organización podrían ser considerados responsables de cualquier incumplimiento de las obligaciones que impone la directiva.
Con vistas a extender la ciberseguridad a todas las funciones, la Directiva SRI 2 podría redefinir el papel del RPD (Responsable de la Protección de Datos) asignándole tareas relacionadas con la aplicación de esta directiva. Estas nuevas tareas serán coherentes con las necesarias para cumplir el Reglamento General de Protección de Datos (RGPD). Es una forma de considerar la ciberseguridad como un riesgo legal, y ya no como una prerrogativa de los CISO.
¿Cuándo será obligatoria la SRI 2 para las organizaciones?
En primer lugar, la directiva se transpondrá a nivel nacional en 27 países a partir del 17 de septiembre de 2023. Después, a partir de octubre de 2024, será obligatoria para todas las empresas y administraciones afectadas. Sin embargo, las organizaciones deben empezar a prepararse ya para estas nuevas normas de ciberseguridad, aumentando su nivel de seguridad. De este modo, podrán hacer frente al creciente aumento de las ciberamenazas.
¿Cómo prepararse?
Las organizaciones afectadas por la Directiva SRI 2 ya pueden recurrir al apoyo de expertos para evaluar el nivel de seguridad de sus sistemas de información y recibir recomendaciones.
Como proveedor de servicios de confianza, certificado y acreditado por la ANSSI, Tixeo apoya a los OSE y OIV en su cumplimiento de la SRI 2. De hecho, el uso de sistemas de comunicación seguros es una de las recomendaciones para garantizar la continuidad de la actividad en caso de crisis. Proteger las comunicaciones en línea es, por tanto, una garantía de ciberresiliencia para las organizaciones.
