Daniel Macarrón Movellán

En agosto de 2024, el Centro Criptológico Nacional (CCN) publicó una actualización del Perfil de Cumplimiento Específico (PCE) para organizaciones que deben cumplir con la Directiva NIS2. Esta actualización ha generado una gran expectación, especialmente porque elimina tres anexos críticos que anteriormente proporcionaban un marco más flexible para la implementación de las medidas de seguridad. A continuación, se ofrece un análisis técnico detallado de los cambios introducidos y su impacto en las organizaciones.

Desaparición de Anexos Clave: Impacto en la Implementación

La versión anterior del PCE-NIS2 incluía tres anexos que facilitaban a las organizaciones la adaptación a la normativa de ciberseguridad estableciendo niveles de implementación más accesibles:

  1. Anexo I: Establecía la categoría del sistema según su postura de seguridad.
  2. Anexo II: Declaración de Aplicabilidad para entidades Esenciales, según el artículo 3 de la Directiva.
  3. Anexo III: Declaración de Aplicabilidad para entidades Importantes, también según el artículo 3 de la Directiva.

Estos anexos permitían cumplir con los controles de seguridad a un nivel de implementación G1, basado en la guía CCN-STIC 808. En este nivel, las medidas de seguridad eran iniciales y ofrecían a las organizaciones una mayor flexibilidad para planificar y realizar inversiones en ciberseguridad de manera progresiva.

Transición Obligatoria de G1 a G2

Con la eliminación de estos anexos, las organizaciones ya no pueden conformarse con un nivel de implementación G1, que era relativamente básico y provisional. Ahora, se requiere que las entidades escalen al grado G2 de implementación. Este cambio no es trivial, ya que el grado G2 exige que las medidas de seguridad no solo estén implementadas, sino que estén documentadas, gestionadas a través de métricas, y sean objeto de un ciclo de mejora continua.

Características del Grado G2:

  • Implementación Documentada: Las medidas de seguridad deben estar formalmente documentadas y ser comprensibles para todos los interesados dentro de la organización.
  • Gestión Basada en Métricas: Es necesario contar con indicadores claros que permitan evaluar la eficacia y eficiencia de las medidas de seguridad implementadas.
  • Ciclo de Mejora Continua: Las medidas de seguridad deben ser revisadas y mejoradas de manera regular, utilizando las métricas recopiladas para identificar áreas de mejora.

Esta transición implica que las organizaciones deben invertir significativamente en la capacitación de su personal, en la adquisición de nuevas herramientas de ciberseguridad y en la creación de procedimientos operativos que aseguren el cumplimiento continuo de la normativa.

Implicaciones para las Entidades sin ENS o ISO Previa

Para las organizaciones que no cuentan con un Esquema Nacional de Seguridad (ENS) o una certificación ISO previa, el desafío es aún mayor. Estas entidades deben comenzar desde cero en la implementación de un marco de seguridad robusto, lo que puede resultar en costos elevados y en la necesidad de recurrir a consultores externos especializados en ciberseguridad. Además, aquellas organizaciones que ni siquiera son conscientes de su obligación de cumplir con la NIS2 se enfrentan a un riesgo significativo de incumplimiento, lo que podría acarrear sanciones y otros problemas legales.

Conclusión

La publicación de este nuevo PCE-NIS2 en un momento en que muchas organizaciones están en pleno proceso de implementación pone de manifiesto la urgencia de revisar y fortalecer las estrategias de ciberseguridad. La eliminación de los anexos y la transición obligatoria a un nivel de implementación más exigente (G2) obligan a las organizaciones a adoptar un enfoque mucho más proactivo y detallado en la gestión de sus riesgos de ciberseguridad.

Las organizaciones que ya tienen experiencia con el ENS o con marcos ISO pueden estar mejor preparadas, pero la actualización exige a todas las entidades, esenciales e importantes, un esfuerzo adicional en la documentación, gestión y mejora continua de sus medidas de seguridad.

En resumen, el nuevo PCE-NIS2 representa un cambio significativo que requerirá que las organizaciones adapten rápidamente sus estrategias para cumplir con los requisitos de seguridad más rigurosos establecidos por la Directiva NIS2.

Accede al documento oficial

No te pierdas nuestra última publicación sobre los Patrones Oscuro en plataformas digitales, ¡podrías estar en peligro!