15 oct 2024

Regulación Ciberseguridad NIS2

(*) Por Marcela Pallero - María Trevisani Vespa

La Directiva Europea NIS 2 como referencia en materia de regulación nacional de la ciberseguridad

Objetivo

Este artículo tiene como objetivo realizar una descripción breve de las principales áreas que aborda la regulación en la Unión Europea sobre ciberseguridad, en particular, la Directiva Directiva (UE) NIS 2022/2555, y brevemente su antecesora la Directiva (UE) 2016/1148, su objetivo y alcance.

En la misma línea se describen algunos temas de carácter general para luego desarrollar los requisitos establecidos en la norma que se aborda.

La Directiva NIS 2 fue sancionada el 14 de diciembre de 2022 y establece plazos definidos para el cumplimiento de varios requisitos concretos para 2024. La adaptación y publicación de las medidas necesarias para el cumplimiento de lo establecido en esta directiva por parte de cada Estado, se establece como plazo final el 17 de octubre de 2024 (NIS 2, art. 41).

  • Objetivo
  • Introducción
  • La Directiva sobre Seguridad de las redes y sistemas de información 2016/1148 (NIS) como antecedente.
  • La Directiva NIS
    • Ámbito de aplicación
    • Entidades esenciales e importantes
    • Medidas de seguridad especificadas
    • Estrategias Nacionales de Ciberseguridad
    • Divulgación Coordinada de Vulnerabilidades
    • Gestión de crisis a nivel Nacional y Red de CSIRT (Computer Security Incident Response Team)
    • Sanciones y transposición
  • Conclusión
  • Referencias

Introducción

La Directiva (UE) NIS 2022/2555 (en adelante, NIS 2) establece medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión Europea. Esa normativa modifica el Reglamento (UE) n.o 910/2014 y la Directiva (UE) 2018/1972, y deroga la Directiva (UE) 2016/1148 (en adelante NIS 1).

La Directiva NIS1 tuvo como objetivo general mejorar la ciberseguridad y la resiliencia de las redes y sistemas de información en la Unión Europea. Su finalidad fue asegurar un nivel elevado de seguridad cibernética en toda la UE y proteger la integridad y disponibilidad de servicios esenciales.

La Directiva NIS 2 representa un avance respecto de su antecesora, NIS 1, al establecer ciertas medidas y modificaciones. En ese sentido, en sus considerandos se mencionan algunas cuestiones que llevaron a revisar y regular nuevamente ciertas cuestiones.

La Directiva NIS 2 reemplaza la NIS1. En esta norma ya no se hará referencia a la seguridad de las redes y sistemas de información sino a la ciberseguridad.

En su artículo 1 define la finalidad: "[la Directiva] establece medidas que tienen por objeto alcanzar un elevado nivel común de ciberseguridad en toda la Unión con el objetivo de mejorar el funcionamiento del mercado interior."

De esta manera y en toda la extensión de la norma se advierte una abordaje más integral, que si bien sigue considerando aspectos técnicos de las redes y los sistemas de información, amplía su visión para fortalecer la gestión de los riesgos y la gobernanza de la ciberseguridad. En efecto, además de todas las actividades necesarias para la protección de las redes y sistemas de información, abarca la seguridad de los usuarios de tales sistemas y de otras personas afectadas por las ciberamenazas (art. 2.1, Reglamento UE 2019/881).

Un primer indicador de las diferencias resulta de notar que la Directiva NIS 1 sobre Seguridad de las redes y la información tiene 75 considerandos y 27 artículos, mientras que esta segunda normativa consta de 144 considerandos y 46 artículos. Resultan interesantes, para los lectores de América Latina y Caribe, las explicaciones que se dan en los fundamentos sobre las necesidades de los requisitos que se establecen.

En primer lugar, se observa que estas directivas abordan la necesidad de imponer requisitos de seguridad de la información para los servicios críticos o esenciales para los países. Estos servicios son definidos como aquellos que, si se vieran afectados por un evento disruptivo, se alteraría de manera grave a sus instituciones o afectaría a la población de manera significativa.

Se puede descargar el documento completo desde aquí.

(*) Marcela Pallero (Marce_I_P) es Ingeniera en sistemas de información por la Universidad Tecnológica Nacional, Especialista en criptografía y seguridad teleinformática por la Escuela Superior Técnica del Ejército y profesora por el Instituto del Profesorado técnico de UTN. Es Responsable del área Seguridad TIC de la Fundación Sadosky y docente de Ciberseguridad en varias diplomaturas (CETyS, ITBA y UNTREF) .

Maria Trevisani Vespa es abogada (UTDT), EMBA (IAE-Universidad Austral). Realizó una Especialización en Derecho Penal (UTDT), una Diplomatura Internacional en Protección de Datos Personales, y está certificado como Delegada de Protección de Datos Personales-DPO (Cetys-Universidad de San Andrés).

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!