El 27 de diciembre de 2022 se publicó en el Diario Oficial de la Unión Europea la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, relativa a las medidas destinadas a garantizar un nivel común elevado de ciberseguridad en toda la Unión. Esta Directiva también se conoce como NIS2, por la sigla inglesa de Network and Information Security.
La Directiva NIS2 establece obligaciones de ciberseguridad para los Estados miembros, medidas para gestionar riesgos de ciberseguridad y obligaciones de notificación para las entidades en su ámbito de aplicación, obligaciones relativas al intercambio de información sobre ciberseguridad, así como también obligaciones de supervisión y ejecución para los Estados miembros.
El punto de partida de esta Directiva es la anterior Directiva NIS, aprobada en julio de 2016 con el propósito de establecer medidas que garantizaran un nivel común elevado de seguridad en las redes y sistemas de la Unión Europea. La finalidad de la Directiva NIS era reducir el impacto en la sociedad ante un incidente de seguridad en las redes o sistemas de información de un actor económico fundamental para el país, a la vez que proporcionar una resolución temprana frente a incidentes.
En el marco de una sociedad cada vez más interconectada y digitalizada, los retos de la ciberseguridad son cada vez más difíciles, dado que las amenazas son cada vez más sofisticadas. Para hacer frente a este auge, la Directiva NIS2 cuenta con las novedades principales siguientes:
- Incorporación del concepto sectores importantes, que engloba el ámbito sanitario y determinados aspectos de la administración pública, entre otros sectores como la gestión de residuos, sector aeroespacial, los proveedores y fabricantes de servicios digitales, el sector alimentario, servicios postales y aquellos dedicados a la producción y distribución de sustancias de productos químicos.
- Introducción de nuevos requisitos de seguridad, la privacidad desde el diseño y, por defecto, la obligación de cifrado, requisitos en cuanto a la respuesta a incidentes y la certificación de servicios, sistemas o productos bajo los esquemas europeos de certificación.
- Unificación normativa entre los Estados miembros y designación de la Agencia de la Unión Europea para la Ciberseguridad (ENISA) como responsable de difundir nuevas normas para prevenir, detectar y responder a ciberataques entre los Estados miembros y las autoridades competentes.
- Integración con la normativa sectorial. Por medio de esta actualización normativa se pretende eliminar las diferencias en la aplicación de requisitos y medidas en el contexto de la ciberseguridad, estableciendo normas mínimas y mecanismos para una cooperación entre autoridades. De esta forma se establece la Red Europea de Organización de Enlace de Crisis Cibernéticas (EU-CYCLONe) para la coordinación en la gestión de ciberataques.
- Refuerzo de las obligaciones de notificación. Cuando el conocimiento de los ciudadanos sea necesario para evitar un incidente significativo, para hacer frente a un incidente significativo en curso, o cuando la divulgación del incidente significativo redunde en el interés público, tanto el CSIRT (nacional o de terceros estados) como las autoridades competentes pueden tomar la iniciativa de informar del incidente a los ciudadanos (después de consultarlo con la entidad afectada) o, incluso, de exigir a la entidad afectada que lo haga.
- Establecimiento de obligaciones de subsanación. Se pueden establecer obligaciones para mitigar los efectos negativos derivados del incidente de seguridad en la consideración de que este tipo de incidentes no son simplemente cuestiones privadas de la organización sino que exceden el ámbito de la libertad de empresa ya que se trata de cuestiones de seguridad nacional y que, por tanto, afectan a toda la sociedad.
- Responsabilidad de la dirección de la empresa; la responsabilidad del cumplimiento de las medidas de ciberseguridad recae en los órganos directivos de la empresa. Adicionalmente se establecen obligaciones de formación a los miembros de los órganos de dirección de las entidades esenciales e importantes.
- Refuerzo de las exigencias de seguridad en proveedores; la Directiva NIS2 establece que las organizaciones pueden exigir a sus proveedores que cumplan la normativa, si estas son consideradas operadores críticos.
¿Cómo afecta esta nueva normativa al Servicio de Salud de les Illes Balears?
Al haberse añadido el concepto sectores esenciales —en el que se incluye la administración pública y el sector sanitario— esta normativa es de aplicación en el ámbito del Servicio de Salud de les Islas Baleares.
Esto obliga, si aún no se cumplía, a contar con un responsable de seguridad de la información (RSI), implantar la gestión de los riesgos para las redes y los sistemas de información, desarrollar políticas de seguridad y notificar incidentes que puedan tener efectos perturbadores en el servicio.
En este sentido, en relación con el sector sanitario, cabe mencionar la vinculación de las nuevas obligaciones de la NIS2 como un nuevo umbral mínimo para las administraciones públicas sanitarias, como sujetos obligados, respecto a las obligaciones referidas a mantener un nivel de seguridad adecuado teniendo en cuenta al mismo tiempo las diferentes normativas sanitarias: el artículo 17 de la Ley 41/2002 de autonomía del paciente, en referencia a la seguridad de las historias clínicas; el artículo 10 de la Ley 5/2003 de salud de las Islas Baleares, relativo a la protección correcta del derecho a la intimidad de los pacientes; el artículo 32 del Reglamento general de protección de datos (RGPD), sobre la seguridad del tratamiento de datos.
Además, respecto a la diligencia debida recogida en el artículo 28 del RGPD, se debe dar especial consideración a la hora de seleccionar nuevos proveedores de servicios teniendo en cuenta las nuevas disposiciones que obligan a exigir que se cumplan los estándares marcados en la NIS2 en materia de seguridad y que se verán reflejados por la transposición a la normativa nacional de cada país miembro de la UE, con lo que se requerirán unos niveles de cumplimiento y seguridad más elevados.
La Directiva NIS2 entró en vigor a los veinte días de ser publicada en el Diario Oficial de la Unión Europea. Los Estados miembros disponen, a partir de entonces, de veintiún meses para transponer el nuevo texto europeo a sus ordenamientos jurídicos. Así, deben aplicar las medidas a más tardar a partir del 18 de octubre de 2024.