Introducción

La Directiva NIS2 entrará en vigor el 17 de octubre en toda la UE. Sin embargo, su aplicación exacta y sus requisitos específicos variarán de un país a otro, ya que cada Estado miembro de la UE aplicará la directiva en función de sus necesidades, su legislación y su infraestructura digital existentes.

En Suecia, la propuesta es que la NIS2 entre en vigor el 1 de enero de 2025 y un nuevo SOU define las normas de ciberseguridad que deberán cumplir los operadores y entidades suecos. El SOU completo, que se puede descargar en aquí, tiene más de 500 páginas, pero a continuación resumimos las partes clave que el sector público debe conocer.

NIS2 en Suecia: análisis del SOU 2024:18

Antes de revisar los detalles específicos de SOU 2024:18 y cómo afectarán a las entidades del sector público, será útil hacer un breve resumen de NIS2 y la Directiva CER asociada.

Requisitos principales de NIS2 y CER

Entre otros requisitos, la Directiva NIS2 exige que todos los servicios sociales, gubernamentales y digitales críticos:

  • Implanten normas de seguridad de la información más estrictas.

  • Implemente un nivel más alto de ciberseguridad en todos los frentes.

  • Garantice la participación de la dirección/liderazgo en el trabajo y las prácticas de ciberseguridad.

  • Realizar análisis de riesgos exhaustivos e informes de incidentes

Además, las entidades públicas críticas también deben cumplir las normas de la Directiva CER en materia de resiliencia digital, lo que significa que todas las entidades críticas deben ser capaces de mantener su actividad y garantizar la disponibilidad de los servicios en caso de perturbaciones o ataques.

Sectores afectados por la NIS2 en Suecia

En Suecia, la Directiva NIS2 aumenta el número de sectores afectados de los 7 sectores cubiertos por la Directiva NIS original a los siguientes 18 sectores:

  • Energía

  • Transporte

  • Operaciones bancarias

  • Infraestructura del mercado financiero

  • Sanidad

  • Agua potable

  • Aguas residuales

  • Infraestructura digital

  • Gestión de servicios TIC (entre empresas)

  • Administración pública

  • Administración y exploración espacial

  • Servicios postales y de mensajería

  • Eliminación de residuos

  • Fabricación, producción y distribución de productos químicos

  • Producción, procesamiento y distribución de alimentos

  • Fabricación (productos médicos, ordenadores, electrónica y óptica, electrodomésticos, otra maquinaria, vehículos de motor, remolques y otros medios de transporte)

  • Proveedores digitales

  • Investigación

En otras palabras, aunque las directivas NIS2 y CER también se dirigen a partes del sector privado (principalmente a los fabricantes), en Suecia la mayoría de los sectores afectados pertenecen al sector público. Sin embargo, hay algunas exenciones potenciales notables (¡y adiciones!) que ahora se han especificado en el SOU.

Exenciones del sector público de la NIS2 en Suecia

Aunque la Directiva NIS2 afecta a casi todo el sector público sueco, las exenciones incluyen:

  • El Gobierno (Regeringen)

  • Las oficinas gubernamentales (Myndigheter)

  • Agencias gubernamentales dependientes del Parlamento y los tribunales

  • Agencias gubernamentales que participan en actividades sensibles en materia de seguridad

  • Consejos regionales/municipales

  • Organismos encargados de hacer cumplir la ley

Por el momento, esto significa que las siguientes 20 entidades gubernamentales (de un total de 346) estarán exentas:

  • Riksrevisionen

  • Riksdagens ombudsmän

  • Sveriges Riksbank

  • Riksdagsförvaltningen

  • Sveriges Domstolar

  • Regeringskansliet

  • Tullverket

  • Kustbevakningen

  • Rättsmedicinalverket

  • Policía

  • Policía de Seguridad

  • Åklagarmyndigheten

  • Ekobrottsmyndigheten

  • Kriminalvården

  • Consejo de Prevención del Delito

  • Fuerzas Armadas

  • Fortifikationsverket

  • Försvarets materielverk

  • Instituto de Radio de Defensa

  • Tribunal de Inteligencia de Defensa

En otras palabras, todas las excepciones son entidades gubernamentales que trabajan a nivel nacional. Mientras tanto, todas las entidades regionales y municipales, incluso aquellas que se dedican a actividades sensibles en materia de seguridad, estarán sujetas a la Directiva NIS2.

La lógica que subyace a la exención de las entidades gubernamentales que se dedican a operaciones sensibles en materia de seguridad o a la aplicación de la ley es que estas entidades deben cumplir una norma de seguridad básica mucho más estricta que la estipulada por la Directiva NIS2. Además, muchas de estas entidades están protegidas por leyes de secreto que interfieren con los requisitos de notificación de incidentes de la NIS2.

Sin embargo, no se debe dar por sentado que esta lista de exenciones es inamovible, especialmente en el caso de aquellas entidades gubernamentales que no trabajan con la seguridad nacional o la aplicación de la ley como su principal ámbito de actuación.

La MSB ha sugerido que las entidades gubernamentales que no trabajan en el ámbito de la seguridad nacional o la aplicación de la ley deberían estar cubiertas por la NIS2, ya que esta debería representar el estándar mínimo de ciberseguridad que debe cumplir todo el sector público, desde el nivel nacional hasta el local. Esto significaría que las autoridades dependientes del Parlamento, incluidos el Banco Nacional de Suecia y los tribunales, también deberían estar cubiertas por la NIS2.

Además, según la Policía de Seguridad, no hay razón para eximir a las autoridades que realizan actividades sensibles en materia de seguridad o de aplicación de la ley, ya que deben cumplir esta norma mínima y basarse en ella para alcanzar el nivel de seguridad y confidencialidad requerido.

Sector adicional afectado por la NIS2 en Suecia

Un sector adicional notable que entrará en el ámbito de aplicación de la NIS2 en Suecia es el de la educación, concretamente la educación superior. El SOU indica que las instituciones de educación superior capaces de otorgar títulos oficiales deben estar cubiertas por la NIS2 y la nueva Ley de Ciberseguridad.

La razón por la que Suecia incluye a los colegios universitarios y las universidades en el marco de la NIS2 es que la investigación en Suecia se lleva a cabo, en su mayor parte, en universidades y colegios universitarios estatales. Hay muy poca investigación fuera del ámbito universitario y, por lo tanto, para proteger la investigación, tal y como exige la NIS2, también deben protegerse las universidades y los colegios universitarios.

En Suecia hay 49 instituciones de enseñanza superior que cuentan con aprobación para otorgar títulos. De ellas, 24 que realizan investigación científica y técnica han sido identificadas en un reciente investigación por no disponer de la seguridad de la información suficiente para proteger los datos de investigación. Las 24 instituciones son las siguientes:

  • Mälardalens universitet

  • Malmö universitet

  • Linnéuniversitetet

  • Kungliga Tekniska Högskolan

  • Universidad de Karlstad

  • Universidad de Gotemburgo

  • Universidad de Örebro

  • Escuela Superior de Defensa

  • Universidad de Dalarna

  • Universidad de Borås

  • Universidad de Halmstad

  • Universidad Väst

  • Universidad de Linköping

  • Universidad de Lund

  • Universidad Mitt

  • Södertörns Högskola

  • Uppsala universitet

  • Universidad Técnica de Blekinge

  • Universidad de Gävle

  • Universidad de Skövde

  • Universidad de Kristianstad

  • Universidad Técnica de Luleå

  • Universidad de Estocolmo

  • Universidad de Umeå

Todas estas instituciones tendrán ahora que cumplir las normas mínimas de seguridad establecidas por la NIS2.

Coste del incumplimiento para el sector público

Para todas aquellas instituciones, organizaciones y entidades que se verán afectadas por la NIS2, el coste del incumplimiento es significativo. El SOU propone tres niveles de sanciones económicas para los diferentes operadores en función de su importancia para el funcionamiento de la sociedad y de si se trata de entidades públicas o privadas. En este artículo no entraremos en las multas para los operadores privados.

Para los operadores del sector público, los costes de las sanciones administrativas oscilarán entre un mínimo de 5000 SEK y un máximo de 10 000 000 SEK. A la hora de determinar el importe de la sanción administrativa, la autoridad supervisora tendrá en cuenta las circunstancias que se derivan del capítulo 5, secciones 3-5, de la propuesta de Ley de Ciberseguridad, en función del nivel de infracción y de la importancia del operador para la sociedad.

Una buena forma de evaluar la importancia de un operador del sector público es calcular cuántas personas se verían afectadas por una violación de datos o una interrupción del servicio. Cuantas más personas se vean afectadas, más importante es el operador y mayor será la multa por incumplimiento.

Asociaciones público-privadas para la implementación de la NIS2 en Suecia

El sector público en Suecia no está preparado para la NIS2. Desde el nivel gubernamental hasta el municipal, las entidades públicas deben implementar bastantes funciones en sus sistemas e infraestructura de seguridad para cumplir con los estándares mínimos de seguridad establecidos por la NIS2. Para obtener más información sobre cuáles son exactamente estas funciones, lea nuestro artículo "Preparando a Suecia para el futuro: lo que debe hacer el sector público para cumplir con la NIS2".

La buena noticia es que el sector público no está solo. Suecia cuenta con algunos proveedores de servicios y tecnologías de ciberseguridad avanzados en el sector privado que pueden ayudar al sector público a implementar todas las actualizaciones necesarias para la NIS2.

Sin embargo, el número de proveedores privados con los que el sector público puede asociarse para la implementación de NIS2 en Suecia es limitado, ya que el sector público debe cumplir los requisitos de seguridad de la cadena de suministro de NIS2. Esto significa que el sector público solo puede trabajar con proveedores privados de ciberseguridad, comunicaciones electrónicas, DNS o servicios de alojamiento que cumplan determinados criterios de seguridad y gestión de la información.

Además de cumplir todos los requisitos de NIS2, los socios tecnológicos de ciberseguridad del sector público también deben:

  • Contar con acuerdos de nivel de servicio de la UE y tener su sede en la UE. En el caso de las entidades críticas, es preferible que tengan su sede en Suecia y estén sujetas a la jurisdicción sueca.

  • Llevar a cabo un trabajo sistemático y basado en el riesgo en materia de seguridad de la información.

  • Proporcionar el nivel adecuado de redundancia y resiliencia digitales que se exige al sector público.

Estos requisitos limitan considerablemente el número de proveedores con los que puede trabajar el sector público sueco si quiere cumplir con la NIS2.

¿Es usted una organización sueca que necesita ayuda para implementar todos los cambios necesarios para cumplir con la NIS2?

Reserve una consulta gratuita con nuestros expertos senior para una revisión gratuita de la NIS2.