Marco legislativo actual
A estas alturas de 2024, sobra decir que la Directiva NIS2 (Network and Information Systems Directive 2) y su transposición a las legislaciones nacionales de los Estados Miembros será, previsiblemente, uno de los focos de los equipos de compliance y IT de las empresas en el último trimestre del año y todo 2025.
Como es de sobra conocido, la Directiva NIS2 es una actualización de la Directiva NIS original de 2016 de la Unión Europea. Su objetivo principal es fortalecer la seguridad cibernética de las redes y sistemas de información esenciales para la economía y la sociedad de la UE. La NIS2 introduce requisitos más estrictos y amplía el alcance a más sectores y tipos de entidades.
La propia Directiva exige su transposición a los ordenamientos nacionales antes del 17 de octubre de 2024. En España, no existe demasiada información oficial acerca del procedimiento legislativo, más allá de la Consulta Pública Previa sobre el Anteproyecto de Ley de Transposición de la Directiva (UE) 2022/2557 relativa a la resiliencia de las entidades críticas, cuyo plazo de presentación de propuestas finalizó el pasado 17 de octubre de 2023.
Recordemos que, si un Estado miembro no transpone una directiva, puede enfrentar procedimientos de infracción por parte de la Comisión Europea, lo que podría llevar a sanciones y otras medidas correctivas. Sirva de consuelo que, a la fecha de este artículo, sólo Bélgica, de entre los veintisiete estados de la UE, ha transpuesto la Directiva, lo que da cuenta de la complejidad de articular un texto legal de las dimensiones del presente.
De hecho, recientemente, el pasado 27 de junio de 2024, la Comisión Europea emitió una consulta pública sobre el reglamento de ejecución de la Directiva NIS2, y el periodo abarca desde ese día hasta el próximo 25 de julio.
El citado reglamento de ejecución por la que se establecen normas para la aplicación de la Directiva (UE) 2022/2555 se referirá a los requisitos técnicos y metodológicos de las medidas de gestión de riesgos en materia de ciberseguridad y, en él, se especifican con mayor detalle los casos en que un incidente se considera significativo en relación con los proveedores de servicios DNS, los registros de nombres TLD, los proveedores de servicios de computación en nube, los proveedores de servicios de centros de datos, los proveedores de redes de suministro de contenidos, los proveedores de servicios gestionados, los proveedores de servicios de seguridad gestionados, los proveedores de mercados en línea, de motores de búsqueda en línea y de plataformas de servicios de redes sociales, y los proveedores de servicios de confianza.
Cualquier parte interesada pueda enviar sus comentarios en este enlace[1], hasta el próximo 28 de julio.
Particularidades de los sectores farmacéutico y sanitario
Por lo general, la directiva se aplica a medianas y grandes empresas, ya sean públicas o privadas, que operen en sectores de alta criticidad y otros sectores críticos señalados en sus anexos I y II, respectivamente, y que ofrezcan servicios o desarrollen sus actividades dentro de la Unión Europea.
Para determinar si una empresa se clasifica como microempresa, pequeña, mediana o gran empresa, se debe considerar lo establecido en la Recomendación 2003/361/CE citada en la NIS2, que define estas categorías de la siguiente manera:
- Microempresa: empresa que emplea a menos de 10 personas y cuyo volumen de negocios anual o balance general anual no excede los 2 millones de euros.
- Pequeña empresa: empresa que emplea a menos de 50 personas y cuyo volumen de negocios anual o balance general anual no supera los 10 millones de euros.
- Mediana empresa: empresa que emplea entre 50 y 250 personas y cuyo volumen de negocios anual no sobrepasa los 50 millones de euros o cuyo balance general anual no sobrepasa los 43 millones de euros.
- Gran empresa: empresa que emplea a más de 250 personas y cuyo volumen de negocios anual o balance general anual es superior a 43 millones de euros.
En relación con los sectores de alta criticidad y otros sectores críticos recogidos en los anexos I y II, respectivamente, se incluyen las siguientes entidades del sector sanitario y farmacéutico:
Sectores de Alta Criticidad: Anexo I, apartado 5.
- Prestadores de asistencia sanitaria.
- Laboratorios de referencia de la UE.
- Entidades que realizan actividades de investigación y desarrollo de medicamentos.
- Entidades que fabrican productos farmacéuticos de base y especialidades farmacéuticas.
- Entidades que fabrican productos sanitarios que se consideran esenciales en situaciones de emergencia de salud pública («lista de productos sanitarios esenciales durante la emergencia de salud pública») en el sentido del artículo 22 del Reglamento (UE) 2022/123 del Parlamento Europeo y del Consejo (21).
Otros sectores críticos: Anexo II, apartado 5.
- Entidades que fabrican los productos sanitarios, tal como se definen en el artículo 2, punto 1, del Reglamento (UE) 2017/745 del Parlamento Europeo y del Consejo (4), y entidades que fabrican los productos sanitarios para diagnóstico in vitro, tal como se definen en el artículo 2, punto 2, del Reglamento (UE) 2017/746 del Parlamento Europeo y del Consejo (5), excepto las entidades que fabrican productos sanitarios a que se refiere el anexo I, punto 5 (que están enmarcadas como Sector de Alta Criticidad).
Las empresas de estos sectores manejan datos sensibles y dependen de sistemas de información seguros para operaciones diarias, investigaciones, ensayos clínicos con datos sumamente reservados y en general relativos al desarrollo de medicamentos, así como para la gestión de servicios médicos.
Los datos de salud son extremadamente sensibles y su protección es crucial, dado que cualquier brecha de seguridad puede tener consecuencias graves para los pacientes. De hecho, ya existen normativas estrictas, como el GDPR, que imponen fuertes requisitos sobre la protección de datos personales. Además, la interconexión de sistemas médicos y farmacéuticos hace que una brecha en un área pueda tener efectos en cascada en otras.
Contexto de seguridad cibernética
Entidades esenciales e importantes
Las empresas clasificadas como esenciales o importantes bajo la NIS2 deberán cumplir con numerosos requisitos de seguridad y notificación rigurosos. Una empresa del Anexo I esencial (esto es, por ejemplo, una empresa farmacéutica con un volumen de negocio superior a 50 millones de euros y/o una plantilla superior a 250 personas), deberá tener en cuenta, a grandes rasgos y sin perjuicio de las medidas y obligaciones que se establezcan en la normativa nacional transpuesta:
- Medidas de Seguridad: adoptar medidas técnicas y organizativas adecuadas para gestionar los riesgos y garantizar la seguridad de las redes y sistemas de información.
- Notificación de incidentes: deberá informar a las autoridades nacionales competentes en plazos y, cuando sea relevante, a los usuarios afectados sobre cualquier incidente significativo de seguridad.
- Responsabilidad legal: las empresas pueden enfrentar responsabilidades legales por incumplimiento, incluyendo sanciones financieras y medidas correctivas obligatorias.
Por otra parte, en caso de que se produzca un ataque informático, la Directiva (y así lo hará también la legislación nacional) exige una comunicación rápida[2], de 24 horas, a las organizaciones afectadas por un ataque significativo por medio de una notificación al Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT) o a la autoridad nacional competente que se identifique. Se considera un ataque significativo aquel que causa una interrupción grave de los procesos o pérdidas financieras cuantiosas a la organización o que causa daños materiales o inmateriales considerables a otra persona.
Además, en las siguientes 72 horas la entidad deberá facilitar detalles sobre el ataque y una evaluación inicial de la situación. Para esto, claro está, necesitará la coordinación urgente de equipos legales y de IT, por lo que será imperativo que las empresas desarrollen e implementen planes de coordinación y crisis de ciberseguridad que puedan ofrecer este tipo de respuestas en un corto periodo de tiempo.
Por si fuera poco, se exige a la entidad afectada la presentación a la autoridad competente de un informe detallado sobre la gravedad del ataque dentro del mes siguiente a haberlo sufrido.
La infracción de las medidas anteriores dará lugar a sanciones que, sin ánimo de ser rigurosos y sin perjuicio de lo que indique la futura legislación nacional, podrán consistir en:
- Multas: las empresas pueden ser multadas con hasta el 2% de su facturación global anual.
- Auditorías y Requerimientos: obligación de someterse a auditorías de seguridad y cumplir con las recomendaciones y requerimientos emitidos por las autoridades competentes.
- Suspensión de Operaciones: en casos graves, podría ordenarse la suspensión parcial o total de las operaciones de la empresa hasta que se cumplan los requisitos de seguridad.
Para evitar responsabilidades, las empresas de sectores críticos deberán implementar programas de compliance cibernético que incluyan, entre otras medidas:
- Evaluaciones de Riesgo: realizar evaluaciones regulares de riesgos y actualizar las medidas de seguridad en consecuencia.
- Formación y Concienciación: capacitar a los empleados sobre ciberseguridad y mejores prácticas para prevenir incidentes.
- Tecnología de Seguridad Avanzada: utilizar tecnologías avanzadas de seguridad como sistemas de detección de intrusiones, cifrado de datos y autenticación multifactor.
- Planes de Respuesta a Incidentes: desarrollar y probar regularmente planes de respuesta a incidentes para mitigar el impacto de cualquier ataque.
Lo anterior puede resultar en una injerencia importante del poder público en la libertad de gestión de las empresas, si bien no cabe duda de que el problema de la ciberdelincuencia a empresas se encuentra en constante crecimiento, y empieza a suponer un apartado capital, incluso, en el análisis de costes y precios de los productos y servicios.
En el siguiente gráfico puede apreciarse como la mayor parte de empresas han tenido que incrementar los precios de sus productos y servicios tras un ataque cibernético[3]:
A lo anterior debe añadirse el coste laboral, técnico, legal y de provisión de contingencias que las empresas se ven obligadas a incrementar de manera sustancial, no sólo ante los ataques, sino también para poder dar cumplimiento efectivo a la normativa en materia de ciberseguridad como la que nos ocupa.
En particular, respecto al sector salud, el siguiente gráfico refleja el coste de un ataque cibernético según los sectores y, como puede apreciarse, el sector de la salud es, con diferencia, el más afectado[4]:
En definitiva, la Directiva NIS2 impone responsabilidades importantes a las empresas, especialmente aquellas en sectores críticos como el sector salud. La correcta implementación de medidas de seguridad y la transposición oportuna a legislaciones nacionales son esenciales para mitigar riesgos y evitar sanciones.
La creciente amenaza de ataques cibernéticos requiere una vigilancia constante y una robusta infraestructura de seguridad, si bien estas circunstancias están llevando a las empresas a incrementar los precios de sus bienes y servicios ante el intenso incremento de los costes y de los riesgos de la ciberdelincuencia.
[1] https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/14241-Cybersecurity-risk-management-reporting-obligations-for-digital-infrastructure-providers-and-ICT-service-managers_en
[2] Artículo 23 de la NIS2
[3] Figure 8 of IBM’s Report “Cost of Data Breach 2023”.
[4] Figure 4 of IBM’s Report “Cost of Data Breach 2023”.