El 2022 nos tenía reservada una sorpresita que, por un sólo día, no se convirtió en una inocentada. El 27 de diciembre se publicaba en el Diario Oficial de la Unión Europea la DIRECTIVA (UE) 2022/2555 DEL PARLAMENTO EUROPEO Y DEL CONSEJO
de 14 de diciembre de 2022. Es decir, la Directiva NIS II, «relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión.» Por fin había fumata blanca y traía escondida algunas sorpresas que, desde el punto de vista de la gestión de la comunicación con la cadena de valor tras un ciberataque, seguro que no van a dejar tranquilos a muchos directivos de «entidades esenciales y entidades importantes», que es a las que afecta la norma. Vamos por partes para ver por qué la Directiva NIS II pone en riesgo la reputación de las entidades esenciales.
Table of Contents
La Directiva NIS II pone en riesgo la reputación de las entidades esenciales
Empecemos por ver a quién afecta.
Las entidades incluidas en el ámbito de aplicación de la Directiva a efectos del cumplimiento de las medidas para la gestión de riesgos de ciberseguridad deberán clasificarse en dos categorías, entidades esenciales y entidades importantes, en función del grado de criticidad de sus sectores o del tipo de servicio que prestan, así como de su tamaño. A este respecto, deben tenerse debidamente en cuenta las correspondientes evaluaciones de riesgos sectoriales o las orientaciones de las autoridades competentes, en su caso, según señala la norma.
Los Estados miembros deben elaborar una lista de las entidades esenciales e importantes así como de entidades que prestan servicios de registro de nombres de dominio. Así que si tu empresa está ahí, no te libras.
Sobre las alertas
Cuando las entidades esenciales o importantes tengan conocimiento de un incidente significativo, deben estar obligadas a presentar una alerta temprana sin demora indebida y, en cualquier caso, en el plazo de veinticuatro horas. Dicha alerta temprana debe ir seguida de una notificación del incidente.
Las entidades afectadas deben presentar una notificación del incidente sin demora indebida y, en cualquier caso, en un plazo de setenta y dos horas a partir del momento en que tengan conocimiento del incidente significativo, con el objetivo, en particular, de actualizar la información presentada mediante la alerta temprana y exponer una evaluación inicial del incidente significativo, incluyendo su gravedad e impacto, así como indicadores de compromiso, cuando estén disponibles.
La alerta temprana solo debe incluir la información necesaria para que el CSIRT, o, en su caso, la autoridad competente, tenga constancia del incidente significativo y la entidad afectada pueda solicitar asistencia, en caso de que sea necesario. En su caso, dicha alerta temprana debe indicar si se sospecha que el incidente significativo está causado por actos ilícitos o malintencionados y si es probable que tenga repercusiones transfronterizas.
Respecto a la comunicación
Cuando proceda, las entidades esenciales e importantes deben informar sin demora a los destinatarios de sus servicios de las medidas o soluciones que pueden aplicar para reducir el riesgo resultante de una ciberamenaza significativa. En su caso, y en particular cuando sea probable que se materialice la ciberamenaza significativa, dichas entidades también deben informar a los destinatarios de sus servicios de la propia amenaza.
Pues bien, desde el punto de vista de la gestión de la reputación aquí tenemos la primera piedra de toque (tampoco digo que sea algo hipernovedoso), pero queda claro que se acabó pensar en echarle tierra encima al caso. Nada de ocultismos.
La exigencia de informar de tales amenazas a los destinatarios debe cumplirse en la medida de lo posible, pero no exime a dichas entidades de la obligación de tomar a sus expensas medidas inmediatas y adecuadas e inmediatas para prevenir o subsanar cualquier ciberamenaza y restablecer el nivel normal de seguridad del servicio. La mencionada información sobre las ciberamenazas significativas a los destinatarios del servicio debe facilitarse de forma gratuita y la información debe estar redactada en un lenguaje fácil de comprender.
Por si a alguien le quedaba alguna duda. Que lo que se diga lo entienda mi madre.
Se va a saber
Cuando proceda, los Estados miembros garantizarán que las entidades esenciales e importantes comuniquen, sin demora indebida, a los destinatarios de sus servicios que puedan verse afectados por una ciberamenaza significativa las medidas o soluciones que dichos destinatarios pueden aplicar en respuesta a la amenaza. Cuando proceda, las entidades notificarán asimismo la propia ciberamenaza significativa a esos destinatarios.
Esta si que es gorda. Es decir, que sí o sí se va a saber. Porque una vez que se lo dices a tus clientes… 5 minutos después, es público. Aviso a los DIRCOMs. Poneos las pilas porque este marrón os lo vais a comer vosotros y nadie os ha avisado de la que se os viene encima. Y no, no es una inocentada. Es Ley.
Un incidente se considerará significativo si: a) ha causado o puede causar graves perturbaciones operativas de los servicios o pérdidas económicas para la entidad afectada; b) ha afectado o puede afectar a otras personas físicas o jurídicas al causar perjuicios materiales o inmateriales considerables.
Un incidente se considerará significativo si: a) ha causado o puede causar graves perturbaciones operativas de los servicios o pérdidas económicas para la entidad afectada; b) ha afectado o puede afectar a otras personas físicas o jurídicas al causar perjuicios materiales o inmateriales considerables. Pero como no se precisa más, da igual lo que opine la entidad sobre el concepto «graves perturbaciones», sobre los «perjuicios materiales o inmateriales considerable» que queda al albur del Estado el informar cuando le venga en gana. En definitiva, te quedas vendido. De nuevo aviso para los DIRCOMs. Este marrón es vuestro.
La mano del Estado
Cuando el conocimiento del público sea necesario para evitar un incidente significativo o hacer frente a un incidente significativo en curso, o cuando la divulgación del incidente significativo redunde en el interés público, el CSIRT de un Estado miembro o, si procede, su autoridad competente y, en su caso, los CSIRT o las autoridades competentes de otros Estados miembros afectados, podrán informar al público, después de consultarlo con la entidad afectada, del incidente significativo o exigir a la entidad que lo haga.
¿Le quedaba alguna duda a los DIRCOMs de que este regalito navideño es para ellos? Pues eso, «cuando redunde en el interés público». Esta fórmula viene a ser lo mismo que decir «Yo, que soy administración pública sé perfectamente qué es lo que redunda en el interés público y, como tú no lo haces, procedo yo a contárselo a quien considere» ¿Vamos teniendo claro por qué la Directiva NIS II pone en riesgo la reputación de las entidades esenciales?
Sumemos a todo esto la regulación ya existente y, en especial, el RGPDE.
Sobre la responsabilidad de la Dirección
Se acabó ponerse de perfil y que el marrón se lo coma el de Sistemas.
Con vistas a reforzar más aún la eficacia y el carácter disuasorio de las medidas de ejecución aplicables por la infracción de la presente Directiva, las autoridades competentes deben estar facultadas para suspender temporalmente o solicitar la suspensión temporal de una certificación o autorización referente a una parte o la totalidad de los servicios pertinentes prestados o a las actividades realizadas por una entidad esencial y solicitar la imposición de una prohibición temporal de que una persona física ejerza funciones de dirección a nivel de director general o representante legal.
Creo que esto a mis amigos letrados no les va a gustar nada y ya no te digo a los CEOs.
Habida cuenta de su gravedad y repercusión en las actividades de las entidades y, en última instancia, en sus usuarios, dichas suspensiones o prohibiciones temporales deben aplicarse exclusivamente de manera proporcional a la gravedad de la infracción y teniendo en cuenta las circunstancias de cada caso, en particular si la infracción fue intencionada o negligente, y toda medida adoptada para prevenir o paliar los perjuicios materiales o inmateriales sufridos.
Sobre el régimen sancionador
Los Estados miembros garantizarán que las entidades esenciales sean sancionadas por el incumplimiento de los artículos 21 o 23, de conformidad con los apartados 2 y 3 del presente artículo, con multas administrativas de un máximo de, al menos, 10 000 000 EUR o de un máximo de, al menos, el 2 % del volumen de negocios anual total a nivel mundial de la empresa a la que pertenece la entidad esencial durante el ejercicio financiero anterior, optándose por la de mayor cuantía.
Los Estados miembros garantizarán que las entidades importantes sean sancionadas por el incumplimiento de los artículos 21 o 23, de acuerdo con los apartados 2 y 3 del presente artículo, con multas administrativas de un máximo de, al menos, 7 000 000 EUR o de un máximo de, al menos, el 1,4 % del volumen de negocios anual total a nivel mundial de la empresa a la que pertenece la entidad importante durante el ejercicio financiero anterior, optándose por la de mayor cuantía.
Pues eso, a reunir al Consejo de Dirección porque la cosa pinta fea con la entrada del año. La UE os ha preparado a las entidades esenciales e importantes un regalito de reyes especial que lleva el nombre del CEO y del director de Legal, que va a desenvolver el DIRCOM y que va a pagar el Director Financiero mientras el CISO intenta apagar el fuego.
Creo que queda claro por qué a Directiva NIS II pone en riesgo la reputación de las entidades esenciales.
Feliz 2023.