NIS2: Notificación obligatoria de brechas

NIS2

La NIS2 o Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a medidas destinadas a garantizar un elevado nivel común de ciberseguridad en la Unión, es una normativa europea de carácter obligatorio que perfecciona lo dispuesto en la antigua NIS (Directiva 2016/1148), con el objetivo de crear un alto nivel común de ciberseguridad en todo el territorio de la Unión Europea.

Aunque en septiembre de 2023 Business Adapter® publicó en qué consistía la NIS2, recordamos que el cumplimiento se centra en dos cuestiones principales:

1. Obligación de implantar las Medidas necesarias para la gestión de riesgos de ciberseguridad (artículo 21)
2. Obligación de notificar las Brechas de seguridad sufridas (artículo 23)

En este post nos centraremos en la segunda de estas, pero empecemos por definir que empresas deben cumplir con la NIS2

Quien debe cumplir con la NIS2

La NIS2 aplica a empresas públicas o privadas, con 250 o más empleados y cuyo volumen de negocio anual alcance o supere los 50 millones de euros o cuyo balance anual exceda o supere los 43 millones de euros y que lleven a cabo su actividad o presten sus servicios en la Unión Europea.

También aplicará a empresas, independientemente de su tamaño, cuya actividad sea considerada empresa esencial e importante, de acuerdo con lo señalado en el art. 3.1 y 2 de la Directiva, y su actividad se desarrolle en los sectores denominados críticos, como son:

–Energía

–Transporte por carretera (según artículo 4, punto 1, de la Directiva 2010/40/UE)

–Sector sanitario (según art. 3.g) de la Directiva 2011/24/EU)

–Producción, transformación y distribución de alimentos

–Fabricación, producción y distribución de productos informáticos, electrónicos y ópticos

–Fabricación, producción y distribución de sustancias y mezclas químicas

–Fabricación, producción y distribución de material eléctrico

–Proveedores de servicios digitales

–Infraestructura digital y gestión de servicios TIC

–Servicio postal y mensajería

–Infraestructuras de los mercados financieros

–Agua potable y residuales

–Gestión de residuos

–Entre otros (consultar el Anexo I de la Directiva)

NIS2: Notificación obligatoria de brechas

Dentro de las novedades que se incluyen en la NIS2 es la relativa a la obligación de notificar incidentes significativos de ciberseguridad.

Te indicamos a continuación los pasos para notificar una brecha de seguridad, para cumplir con el art. 23 del NIS2:

¿Cuándo notificar el incidente?

La NIS2 determina la obligación de notificar cuando el incidente sea considerado significativo, por lo que este sería el primer requisito a tener en cuenta.

Los incidentes significativos se especifican en el art. 23.3 de la NIS2, siendo los siguientes:

1. Incidente que ha causado o puede causar graves perturbaciones operativas de los servicios o pérdidas económicas para la entidad afectada;
2. Incidente que ha afectado o puede afectar a otras personas físicas o jurídicas al causar perjuicios materiales o inmateriales considerables.

¿Cuál es el plazo para notificar?

La notificación debe ser sin demora.

¿A quién se debe notificar?

Se le notificará al CSIRT de referencia (equipo de respuesta a incidentes de seguridad informáticos).

Actualmente existen tres CSIRT en España:

CCN-CERT, del Centro Criptológico Nacional para el sector público.

INCIBE-CERT para la comunidad que no pertenezca al CCN-CERT, ciudadanos y entidades de derecho privado.

ESPDEF-CERT, del Mando Conjunto del Ciberespacio, que coopera con los demás CSIRT en aquellas situaciones en la que estos requieran en apoyo de los operadores esenciales y aquellos que tengan incidencia en la Defensa Nacional

A la Autoridad Competente (si hubiera).

¿Cuál es el procedimiento para notificar?

Paso 1:

La entidad responsable/afectada, notificará al CSIRT a través de una alerta, en un plazo de 24 horas desde que se tuvo conocimiento de la existencia del incidente.

EL CSIRT ofrecerá, cuando posible, una respuesta en 24 horas a la entidad responsable, con las medidas paliativas que se podrían aplicar al incidente reportado.

Paso 2:

Antes de que se cumplan 72 horas desde que ocurrió el incidente, la empresa o entidad responsable actualizará la alerta y emitir una evaluación inicial, en donde se expondrá la gravedad y el impacto del incidente. Si se trata de un prestador de servicios de confianza, este plazo se acorta a 24 horas.

Paso 3:

EL CSIRT o la autoridad competente podrá solicitar, si así lo considera necesario, un informe intermedio sobre lo sucedido.

Paso 4:

En un plazo máximo de 1 mes contado desde que ocurrió el incidente, la empresa o entidad responsable deberá emitir el informe final, que al menos deberá contener lo siguiente:

• Una descripción del incidente, con el mayor detalle posible, incluyendo su gravedad e impacto.
• El tipo de amenaza o causa principal que probablemente haya desencadenado el incidente.
• Medidas aplicadas hasta el momento y las que se encuentran aplicándose al momento de la emisión del informe.
• Si existen o no repercusiones transfronterizas del incidente.

En el caso que el incidente prosiga al momento de la emisión de este Informe final, se les otorgará un plazo adicional de 1 mes más, para que se emita otro informe.

Publicidad del incidente

Cuando el conocimiento del público sea necesario para evitar un incidente significativo o hacer frente a un incidente significativo en curso, o cuando la divulgación del incidente significativo redunde en el interés público, el CSIRT de un Estado miembro o, si procede, su autoridad competente y podrán informar al público, después de consultarlo con la entidad afectada, del incidente  significativo o exigir a la entidad que lo haga.

Esto puede afectar negativamente a la imagen corporativa de la empresa que haya sufrido la brecha de seguridad.

Entrada en vigor

Transposición a legislación nacional:

Según establece el art. 23 NIS2 el plazo límite era el 17 de octubre de 2024, pero España no ha cumplido con este plazo.

Aplicación efectiva:

Una vez transpuesta, las entidades obligadas deberán cumplir con las obligaciones establecidas en esa ley nacional que se apruebe.

Multas

El art. 34. 4 y 5 de la NIS2 señala la posibilidad de imponer multas administrativas en caso de incumplir el artículo 21 (aplicación de medidas obligatorias) o del artículo 23 (obligación de notificar brechas de seguridad) y agrupándolas de esta forma:

Entidades esenciales:

Multas administrativas de un máximo de, al menos, 10 millones de euros o de un máximo de, al menos, el 2 % del volumen de negocios anual total a nivel mundial de la empresa a la que pertenece la entidad esencial durante el ejercicio financiero anterior, optándose por la de mayor cuantía.

Entidades importantes:

Multas administrativas de un máximo de, al menos, 7 000 000 EUR o de un máximo de, al menos, el 1,4 % del volumen de negocios anual total a nivel mundial de la empresa a la que pertenece la entidad importante durante el ejercicio financiero anterior, optándose por la de mayor cuantía.

No olvides tus obligaciones de Protección de Datos

Aprovechamos para recordar que cualquier empresa deberá tener un Protocolo de actuación ante Brechas de Seguridad que afecten a datos personales, por lo que recordamos qué hacer ante un brecha de este tipo en: ¿Sabes qué hacer ante una brecha de seguridad de datos personales?

Business Adapter® a tu servicio 

Si necesitas asesoramiento sobre como implantar la NIS2 en tu entidad, o como actuar ante una brecha de seguridad, contáctanos en el email: info@businessadapter.es, también puedes llamar al 96 131 88 04, o deja tu mensaje en nuestro formulario: