^{Alejandro Negro, consejero, y Pablo Tena, asociado grupo.alimentacion@cuatrecasas.com}

La transformación digital y la interconexión de la sociedad, así como de las empresas conlleva grandes beneficios, pero ha causado una expansión del panorama de las ciberamenazas y, por consiguiente, la aparición de nuevos desafíos que requieren de medidas adaptadas al nuevo contexto.

Entre otras medidas implementadas por la Unión Europea para afrontar estos desafíos, el pasado diciembre se aprobó la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (“Directiva NIS 2”).

Como su propio nombre indica, la Directiva NIS 2 deroga la anterior normativa con el principal objetivo de mejorar la resiliencia y la capacidad de respuesta ante ciberincidentes del sector público y privado en la Unión Europea, así como para armonizar los protocolos de ciberseguridad establecidos hasta la fecha en los Estados Miembros.

En este sentido, la Directiva NIS 2 actualiza el sistema de obligaciones de ciberseguridad que los operadores vinculados a sectores esenciales originalmente ya debían afrontar como consecuencia de la anterior Directiva 2016/1148. En concreto, lo que se establece a través de la Directiva NIS 2 es un sistema reforzado de deberes y obligaciones que distingue entre dos categorías dependiendo del nivel de gestión. Se diferencia, por tanto, entre entidades esenciales y entidades importantes (artículo 3 de la Directiva NIS 2).

Como hecho novedoso, dentro de esta categorización, la Directiva NIS 2 incluye al sector de producción, transformación y distribución de alimentos como sector crítico (incluido en el Anexo II). No obstante, en España, este hecho no es del todo novedoso pues la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas ya categorizaba al sector alimentario como estratégico.

Además, para determinar qué entidades son operadores de servicios esenciales, deberá tenerse en cuenta el criterio de tamaño fijado por la Directiva NIS 2, esto es, que esta normativa se aplica a las entidades que sean consideradas medianas y grandes y operen aquellos sectores considerados como críticos.

La Directiva NIS 2 introduce ciertas novedades respecto a su predecesora que las entidades deben tener en cuenta y, más aún aquellas pertenecientes a nuevos sectores listados como esenciales o importantes.

Entre otras novedades, las entidades del sector de producción, transformación y distribución de alimentos deberán:

• Crear requisitos de gestión de riesgos de ciberseguridad más específicos como, por ejemplo, la implementación de políticas de seguridad y análisis de riesgos, procedimientos de gestión de incidentes, así como procedimientos para evaluar la eficacia de las medidas de gestión de riesgos.
• Establecer mecanismos para cumplir con la obligación de notificación sin dilación indebida de cualquier incidente que tenga un impacto significativo en la prestación de sus servicios.
• En caso de ser exigido, utilizar productos, servicios y procesos certificados de acuerdo con el esquema europeo de certificación de la ciberseguridad.
• Establecer programas de formación periódica para los empleados.

Además de lo anterior, como novedad, la Directiva NIS 2 introduce la responsabilidad de los órganos de dirección por el incumplimiento de las obligaciones en materia de ciberseguridad.

Por último, la Directiva NIS 2 introduce un nuevo régimen sancionador, que va desde la aplicación de las recomendaciones hechas por una auditoría de seguridad (instrucciones vinculantes) y y multas pecuniarias, que pueden llegar hasta los 10 millones de euros o al 2% del volumen de negocios de la compañía en cuestión, a nivel mundial.

Los Estados Miembros tienen hasta el 17 de octubre de 2024 para adoptar y publicar medidas necesarias para dar cumplimiento a esta normativa.

No obstante, desde Cuatrecasas recomendamos que las entidades del sector alimentario comiencen a trabajar en implementar medidas de ciberseguridad adecuadas, realizando análisis de riesgos legales y técnicos para determinar los aspectos con mayor riesgo y, además, introducir sistemas de notificación de incidentes, así como planes de formación para sus empleados.