OIV y OSE son las dos categorías del derecho francés que designan a organizaciones sometidas a obligaciones reforzadas de ciberseguridad. OIV (Opérateur d'Importance Vitale, Operador de Importancia Vital) precede a NIS2 y se rige por la Ley de Programación Militar de 2013 (LPM). OSE (Opérateur de Services Essentiels, Operador de Servicios Esenciales) es la transposición francesa de la directiva NIS original, actualmente ampliada por NIS2.
La distinción
El estatus OIV se asigna por decreto a operadores cuyo fallo afectaría gravemente al potencial militar o económico, la seguridad o la capacidad de supervivencia de la nación. La lista es clasificada. Los OIV están regulados por la ANSSI (Agencia Nacional de Seguridad de los Sistemas de Información de Francia) y deben implementar las Reglas de Seguridad de los Sistemas de Información de Importancia Vital (SIIV) — reglas técnicas y organizativas que preceden y superan a NIS2 en varios puntos.
El estatus OSE se aplica más ampliamente a los sectores definidos por la directiva NIS2: energía, transporte, banca, mercados financieros, salud, agua potable, infraestructura digital, administración pública, espacio, servicios postales, gestión de residuos, alimentación, química, investigación y fabricación. La lista es pública. Los OSE se rigen por la ley francesa de transposición NIS2 y son supervisados por la ANSSI o autoridades sectoriales.
Obligaciones OIV
Las reglas SIIV cubren 20 áreas, incluyendo gestión de identidades, segmentación de red, detección de incidentes, registro de auditoría y seguridad de la cadena de suministro. Tres rasgos distinguen las obligaciones OIV del estándar NIS2:
- Auditoría obligatoria por proveedores cualificados ANSSI (PASSI). La autoevaluación no es aceptable.
- Restricción de nube soberana. Las clasificaciones francesas equivalentes al CUI deben permanecer en infraestructura soberana cualificada.
- Atestación anual a la ANSSI. Informe formal, no divulgación voluntaria.
Obligaciones OSE bajo NIS2
La base NIS2 para los OSE se alinea con el artículo 21 de la directiva: gestión de riesgos, tratamiento de incidentes, continuidad de negocio, seguridad de la cadena de suministro, gestión de vulnerabilidades, criptografía, control de acceso, MFA y desarrollo seguro. Francia añade obligaciones de notificación y un régimen sancionador mediante su ley de transposición.
Los operadores esenciales (entités essentielles) están sometidos a una supervisión más estricta que los operadores importantes (entités importantes). Los operadores esenciales incluyen a la mayoría de los antiguos OSE más los nuevos sectores añadidos por NIS2.
Por qué importa para OT
La mayoría de los sectores OIV y OSE operan una huella OT significativa — transporte eléctrico, tratamiento de agua, señalización ferroviaria, control industrial. Las obligaciones técnicas se traducen directamente en segmentación de red, control de acceso basado en identidad, registro de auditoría y detección de incidentes en la capa OT. Los productos de seguridad solo-cloud raramente satisfacen las exigencias de soberanía de datos y control on-premise que la ANSSI impone a los OIV.
Términos relacionados
- Directiva NIS2
- Protección de infraestructuras críticas
- Normas de ciberseguridad industrial
- Seguridad de tecnología operacional
- IEC 62443
Conexión con Access Gate
Access Gate funciona completamente on-premise, produce evidencias de auditoría alineadas con los requisitos ANSSI SIIV y satisface las expectativas de infraestructura soberana a las que están sometidos los OIV y los OSE de sectores críticos. Ver Conformidad NIS2 on-premise.
