Cumplimiento de NIS2 para el sector de la investigación

Las instituciones de investigación contribuyen al avance científico, la innovación tecnológica y la competitividad económica en toda la Unión Europea. Universidades, laboratorios de investigación y organizaciones de investigación especializadas gestionan propiedad intelectual sensible, tecnologías avanzadas y colaboraciones transfronterizas. La creciente digitalización de los datos de investigación, los sistemas de laboratorio y los entornos de computación de alto rendimiento ha ampliado la exposición al riesgo cibernético.

La Directiva NIS2 establece obligaciones de ciberseguridad aplicables en toda la UE para entidades Esenciales y Entidades Importantes y amplía significativamente el alcance del marco NIS original. El cumplimiento de NIS2 para el sector de investigación pretende reforzar la resiliencia de las entidades que realizan investigación científica y tecnológica crítica.

La Directiva se aplica a organizaciones medianas y grandes que operan en los sectores designados, incluidas determinadas entidades de investigación. El alcance se define por el tipo de actividad investigadora y los criterios de designación nacional.

Si su organización realiza actividades de investigación dentro del alcance definido, puede estar sujeta a NIS2 como una entidad Importante.

El sector de investigación se clasifica como:

Anexo relevante: Annex II (Important Entities)

Esto incluye entidades cuyo objetivo principal es llevar a cabo investigación aplicada o experimental, incluidas instituciones de investigación dedicadas al desarrollo tecnológico o científico.

Las entidades que cumplen los umbrales de tamaño aplicables son tratadas como entidades Importantes en el marco de NIS2.

• Entidad Importante under Annex II

• Organizaciones de investigación

Cobertura por subsector (Annex II – Research):

El cumplimiento de NIS2 para el sector de investigación se aplica a:

Esto incluye institutos de investigación, organizaciones privadas de I+D y laboratorios especializados que cumplan los criterios de tamaño de la UE.

La aplicabilidad de NIS2 a pymes es particularmente relevante en este sector, ya que muchas instituciones de investigación operan a escala de empresa mediana. Las entidades de investigación más pequeñas que no cumplan los umbrales de tamaño pueden quedar fuera del alcance a menos que sean designadas específicamente por la ley nacional.

Las universidades pueden estar incluidas cuando cumplan los criterios de tamaño y encajen en la definición de organizaciones de investigación según las leyes nacionales de transposición.

• Empresas de tamaño medio (≥50 empleados y/o €10 millones de facturación anual o total del balance)
• Grandes empresas que excedan esos umbrales

En virtud del Article 21 de la Directiva NIS2, las entidades de investigación deben implementar medidas técnicas y organizativas apropiadas y proporcionadas para gestionar los riesgos de ciberseguridad.

Las medidas obligatorias incluyen:

Para el sector de investigación, estas medidas de seguridad de NIS2 deben proteger repositorios de datos de investigación, sistemas de propiedad intelectual, equipos de automatización de laboratorio e infraestructuras de computación de alto rendimiento.

El cumplimiento de NIS2 en el sector de investigación requiere controles de acceso sólidos para los datos de investigación sensibles, plataformas de colaboración seguras y supervisión de socios de investigación externos. La protección de la propiedad intelectual y la continuidad de las operaciones de investigación son centrales en los esfuerzos de cumplimiento.

• Marco de gestión de riesgos
• Procedimientos de gestión de incidentes
• Continuidad del negocio y recuperación ante desastres
• Seguridad de la cadena de suministro
• Desarrollo y mantenimiento seguros
• Políticas sobre cifrado y criptografía
• Control de acceso y MFA
• Gestión de vulnerabilidades y de parches
• Formación en higiene cibernética
• Uso de comunicaciones seguras

Las entidades de investigación deben cumplir con los plazos de notificación de incidentes de NIS2 cuando ocurran incidentes significativos.

Las obligaciones de notificación incluyen:

Los informes deben presentarse al CSIRT nacional correspondiente o a la autoridad competente.

La regla de notificación de 24 horas de NIS2 es particularmente relevante cuando los incidentes cibernéticos comprometen datos de investigación sensibles, interrumpen sistemas de laboratorio o afectan plataformas colaborativas. Los incidentes significativos pueden incluir violaciones de datos que afecten a la integridad de la investigación o a la propiedad intelectual.

El incumplimiento de los plazos establecidos para la notificación puede dar lugar a medidas de ejecución por parte de las autoridades y a sanciones económicas.

El cumplimiento de NIS2 para el sector de investigación impone responsabilidades al órgano de gestión.

Los requisitos clave de gobernanza incluyen:

El Article 21 de la Directiva NIS2 eleva la supervisión de ciberseguridad a la dirección ejecutiva. La alta dirección debe garantizar que los controles de ciberseguridad estén alineados con el riesgo institucional y los objetivos de protección de la investigación.

Las deficiencias de gobernanza pueden exponer a las instituciones a un mayor escrutinio regulatorio, riesgos de financiación y daños reputacionales.

• Aprobación de las medidas de gestión de riesgos de ciberseguridad por parte del órgano de gestión
• Supervisión continua de la implementación
• Formación obligatoria en ciberseguridad para la dirección
• Posible responsabilidad personal bajo la legislación nacional

Como entidades de Annex II, las organizaciones de investigación clasificadas como entidades Importantes están sujetas a supervisión reactiva. Las autoridades competentes generalmente inician medidas de supervisión tras pruebas o notificaciones de incumplimiento.

Las multas administrativas por incumplimiento son:

Las leyes nacionales de transposición pueden matizar los procedimientos de supervisión, pero la Directiva establece umbrales mínimos de sanción armonizados entre los Estados miembros.

Se espera que el enfoque de la aplicación se centre en la protección de datos sensibles y la continuidad de las operaciones de investigación.

• Entidades Importantes: Hasta €7 millones o 1,4% del volumen de negocios anual total a nivel mundial (lo que sea mayor)

Las PYMES de investigación deberían adoptar un enfoque estructurado de cumplimiento:

La preparación temprana reduce el riesgo de sanciones y protege la propiedad intelectual.

1. Realizar una evaluación de brechas frente a NIS2
2. Mapear los sistemas de investigación críticos y los repositorios de datos
3. Formalizar un marco documentado de gestión de riesgos de ciberseguridad
4. Actualizar y probar los planes de respuesta a incidentes y recuperación de datos
5. Revisar los acuerdos con socios de investigación y subcontratistas
6. Formar a la alta dirección y a los directores de investigación
7. Establecer un flujo de trabajo de notificación 24h/72h/1 mes

Las entidades de investigación enfrentan riesgos específicos del sector bajo NIS2:

Por ello, el cumplimiento de NIS2 en el sector de investigación es esencial para proteger la innovación y la resiliencia institucional.

• Robo de propiedad intelectual: Los incidentes cibernéticos pueden comprometer datos de investigación propietarios.
• Interrupción operativa: Los sistemas de automatización de laboratorio pueden verse afectados.
• Compromiso de la cadena de suministro: Los socios y proveedores de investigación introducen riesgos de terceros.
• Sanciones regulatorias: El incumplimiento puede dar lugar a sanciones económicas significativas.
• Daño reputacional: Las violaciones de datos pueden afectar la credibilidad institucional y las oportunidades de financiación.