Para hacer frente a la creciente amenaza cibernética sistémica, la Unión Europea adoptó la Directiva (UE) 2022/2555 el 14 de diciembre de 2022 (NIS 2). Esta directiva marca un cambio de paradigma real, en particular debido a su perímetro de aplicación mucho más amplio que el de la Directiva 2016/1148 (UE) del 6 de julio de 2016 (NIS 1) que se centró solo en ciertos sectores específicos. De ahora en adelante, más de 10,000 organizaciones pertenecientes a más de 18 sectores diferentes estarán regulados en Francia, en lugar de 600 a 700 con las empresas CAC40, pero también las PYME o administraciones ahora pueden verse afectadas. Nunca podemos recordarlo lo suficiente, pero cada organización, sea cual sea su tamaño, ahora debería saber si esta directiva se refiere o no. Si lo ignora, se vuelve urgente aprender sobre eso.

Protección casi universal en riesgo cibernético

Entre las principales obligaciones previstas por la Directiva NIS 2, cada entidad regulada tendrá que implementar medidas de gestión de riesgos cibernéticos adecuados. Estos se relacionan principalmente con aspectos de la higiene de TI fundamental, para que las organizaciones puedan protegerse contra las amenazas más comunes. Estas obligaciones se especificarán en la Ley de Transposición Francesa, así como en sus decretos de implementación. Además, cada entidad regulada tendrá que declarar a la autoridad nacional competente sus importantes incidentes de seguridad dentro de las 24 horas posteriores a la lectura.

Se han criticado los costos significativos necesarios para el cumplimiento, y debe reconocerse que se requiere un esfuerzo significativo de todas las nuevas entidades reguladas en términos de seguridad informática. Pero hay un interés real en estas entidades para cumplir a largo plazo. La directiva NIS 2 tiene como objetivo reducir las pérdidas financieras vinculadas a los ataques cibernéticos que se han generalizado. Agregado a esta reducción en las pérdidas financieras, la posibilidad de mejorar la reputación cibernética de estas entidades y, por lo tanto, fortalecer la confianza de sus clientes. Solo el tiempo nos dirá si estas ambiciones se llenarán completamente y si las inversiones valieron la pena.

La Directiva NIS 2 establece la capacidad de imponer, entre otras cosas, sanciones financieras a las entidades reguladas. Estas sanciones se inspiran en las proporcionadas por el GDPR, y deben ser proporcionales a las deficiencias. Pueden superar los 10 millones de euros o el 2% de la facturación global de las entidades calificadas como esenciales, y 7 millones de euros o 1.4% de la facturación global de las entidades calificadas de importancia. Estas sanciones teóricas deben tener el efecto de permitir la cuestión de la conformidad cibernética para alcanzar el corazón del poder ejecutivo de las empresas y, por lo tanto, hacer posible hacer cambios estructurales.

La transposición de NIS 2 a Francia probablemente se retrase

En teoría, los Estados miembros tienen hasta el 17 de octubre de 2024 para transponer la Directiva NIS 2 a la ley nacional. Durante muchos meses, la ANSSI (Agencia Nacional para la Seguridad de los Sistemas de Información) ha iniciado un diálogo con las partes interesadas en un proceso de co-construcción con futuras entidades reguladas para verificar que los requisitos técnicos deseados son realistas.

Un borrador del proyecto de ley de transposición y veinte decretos de implementación que especificarán los métodos prácticos de implementación están esperando la adopción. Este proyecto fue presentado a los organismos legislativos en mayo de 2024. Pero su adopción es lenta en un contexto político particular marcado por la disolución de la Asamblea Nacional y la constitución de un nuevo gobierno. Este último decidirá si este proyecto será presentado para su examen por la Asamblea Nacional tal como es, porque todavía podría, en teoría, modificar este proyecto. Luego, el gobierno determinará cuándo se incluirá este proyecto en la agenda de la Asamblea.

En la práctica, es posible que esta fecha del 17 de octubre de 2024 no sea respetada, especialmente porque una vez que la ley adoptada, todavía habrá los textos regulatorios que se validarán para que el marco esté completo. Por lo tanto, la implementación efectiva de la Directiva NIS2 en Francia podría llegar tarde.

Otros plazos cibernéticos

El proyecto de ley para la transposición de la Directiva NIS 2 también es una oportunidad para interesarse en otras regulaciones sindicales. En primer lugar, existe la Regulación (UE) 2022/2254 del 14 de diciembre de 2022 ("Dora"), un texto técnico relacionado solo con el sector financiero.
Además, la propuesta muy avanzada de regulación (UE) sobre resiliencia cibernética (CRA, Ley de Resiliencia Cibernética) ha abierto un nuevo proyecto cibernético importante. El propósito de esta regulación es definir las reglas mínimas de ciberseguridad para los productos digitales vendidos en el mercado de la UE. Impondrá obligaciones a los proveedores digitales y, por lo tanto, es complementario a la Directiva NIS 2 que se aplicará a los usuarios digitales. Los estándares europeos deben ser establecidos e implementados por proveedores. Esta regulación debería reequilibrar la carga del cumplimiento cibernético entre usuarios y proveedores. Con respecto a las regulaciones, no requieren transposición y, por lo tanto, serán aplicables mucho más rápido. Dora, por ejemplo, será aplicable a partir del 17 de enero de 2025.

Actualización gradual hasta 2027

El ANSSI es consciente del desafío que representa el cumplimiento NIS 2, y que ciertas entidades recientemente reguladas descubrirán concretamente los desafíos de la ciberseguridad. En este sentido, la agencia desea sobre todo posicionarse como acompañante de organizaciones, incluso si tiene poderes de sanción significativos y disuasivos. Por ejemplo, mencionó un período de tolerancia de tres años una vez que la directiva NIS 2 se transpone en Francia, de modo que las entidades en cuestión se actualicen. Por lo tanto, podemos esperar razonablemente que el ANSSI requiere un cumplimiento completo para finales de 2027. Este período de tolerancia parece esencial para que las entidades interesadas aumenten en la competencia y realicen las modificaciones técnicas y organizativas requeridas.

Tenga en cuenta que el ANSSI indicó que este período de tolerancia no necesariamente se referiría a todas las obligaciones y podría jugar de manera diferente dependiendo de las entidades interesadas, en particular entre las que ya estaban dentro del perímetro NIS1 y aquellos que NIS2 se integrarán recientemente. Por lo tanto, las obligaciones que consideran el ANSSI como la más "simple" pueden tener que implementarse de inmediato o muy rápidamente después de la adopción de los textos. Este es, por ejemplo, el caso de declaraciones de incidentes significativas que requieren "solo" la implementación de un plan de gestión de incidentes sin modificar el sistema de información. En este sentido, el ANSSI podría sancionar a una compañía defectuosa tan pronto como la ley de transposición entró en vigor.

Tenga cuidado con la falsa sensación de comodidad

Por lo tanto, es necesario luchar contra un falso sentimiento de comodidad que el anuncio de este período de tolerancia pudo crear en algunos. Y es necesario comenzar el cumplimiento NIS 2 ahora, sin repeler los plazos. Cada organización en cuestión debe establecer una habilidad rápidamente de acuerdo con su nivel actual de protección cibernética. El diseño de las políticas de gobernanza y seguridad se puede llevar a cabo de manera acelerada si los recursos necesarios se dedican a él. Sin embargo, esto no será suficiente para cumplir con el marco regulatorio. Es posible que algunas compañías tengan que reclutar, otras capacitar, otras aún conscientes y capacitar a sus empleados. Procedimientos que toman tiempo.

Cuando el GDPR fue adoptado en abril de 2016, por ejemplo, algunas compañías han optado por retrasar el cumplimiento debido a su solicitud dos años después a partir del 28 de mayo de 2018, y aún esperan el puesto o incluso las decisiones de las autoridades de control antes de iniciar su cumplimiento. Esta estrategia generalmente ha demostrado ser defectuosa, y algunas organizaciones han pagado el precio. Incluso si el nivel de cumplimiento del GDPR generalmente ha mejorado, muchos de ellos han tardado en hacer que evolucione. En 2024, todavía había avisos formales formales e incluso multas administrativas que podrían haberse evitado si el cumplimiento de RGPD se hubiera gestionado adecuadamente en el momento adecuado. Además, otros sujetos regulatorios como CRA y Dora, también se invitarán a la tabla de discusiones para 2027 y, por lo tanto, podrían ralentizar el proceso de actualización de NIS 2.