Directiva NIS2 – Resiliencia en Ciberseguridad

By albert
4 Ene 2023

Han pasado 5 años desde que la Unión Europea publicó la Directiva de seguridad de red y de seguridad de la información – Network and Information Security – NIS1 por sus siglas en inglés –  publicada en 2017, enfocada principalmente a empresas europeas consideradas como infraestructuras críticas.

En diciembre de 2022, la Unión Europea publicó la nueva directiva NIS2 que sustituye a la NIS1 y entrará en vigor 21 meses después de esta fecha, es decir, en septiembre de 2024.

El objetivo de la directiva NIS 2 es alcanzar un elevado nivel común de ciberseguridad en toda la Unión con el objetivo de mejorar el funcionamiento del mercado interior y sienta las bases para las medidas de gestión de riesgos de ciberseguridad.

Novedades de la Directiva NIS2

Debido a que los riesgos de ciberseguridad se encuentran en evolución constante y las amenazas en el ciberespacio son cada vez más sofisticadas, la NIS2 trae consigo algunos requisitos adicionales a la directiva anterior:

  • La Agencia de la Unión Europea para la Ciberseguridad (ENISA) es la responsable de la difusión de nuevas normas para la prevención, detección y respuesta a ciberataques entre los países miembros y sus autoridades competentes en la materia.
  • Nuevos requisitos de seguridad en las organizaciones, como la concienciación sobre la privacidad desde el diseño y por defecto, obligación de cifrado, requisitos en cuanto a la respuesta a incidentes, la certificación de servicios, sistemas y/o productos bajo el paraguas de esquemas europeos de certificación, acordes a la normativa europea.
  • Incrementa las exigencias de seguridad en proveedores y la cadena de suministro, permitiendo a las organizaciones exigir a sus proveedores el cumplimiento de la normativa, en el supuesto de ser consideradas como operadores críticos.
  • Integración plena con normativas sectoriales, como puede ser la Directiva para la Resiliencia Operativa Digital para el sector financiero (DORA) y la Directiva de Resiliencia de Entidades Críticas (CER).
  • Se incluyen nuevos sectores bajo el concepto de “entidades esenciales” como Gestión de servi­cios de TIC (B2B), Entidades de la Administra­ción pública, Espacio y la incorporación de “sectores importantes” como Servicios postales y de mensaje­ría, Fabricación, Proveedores de servicios digitales, Investigación, entre otros.

A continuación, se detallan los diferentes sectores que la NIS2 ha establecido como entidades esenciales y sectores importantes.

Entidades afectadas por la NIS2

NIS2 aplica a más entidades, sectores y servicios que la anterior directive NIS1. Las entidades cubiertas por el NIS2 se dividen en dos categorías: entidades esenciales y entidades importantes, dependiendo del sector en el que opere cada entidad:

A2SECURE Entidades afectadas por la Directiva NIS2

Desde una perspectiva general, se aplicarán las mismas normas tanto a las entidades esenciales como a las importantes, y la principal diferencia es el régimen de supervisión.

Es importante señalar, que la norma NIS2 puede aplicarse indirectamente a los proveedores directos y a los prestadores de servicios de las entidades esenciales e importantes mediante la transmisión contractual de los requisitos de la norma NIS2

¿Qué debo hacer para cumplir con la NIS2?

El plan de acción para cumplir con NIS2 se debe centrar en 3 grandes áreas, Gobierno de la Seguridad, Detección y respuesta a incidentes y Evaluación de la seguridad de los activos y de toda la red de la organización.

La NIS2 establece claramente “Las entidades esenciales e importantes adoptarán medidas técnicas y organizativas adecuadas para gestionar los riesgos que se plantean para la seguridad de las redes y sistemas de información que dichas entidades utilizan en la prestación de sus servicios.». Estas medidas son:

  • Análisis de riesgos y políticas de seguridad de los sistemas de información
  • Gestión de incidentes (prevención, detección y respuesta a incidentes)
  • Continuidad de la actividad y gestión de crisis;
  • Seguridad en la cadena de suministro, incluidos los aspectos relacionados con la seguridad en las relaciones entre cada entidad y sus proveedores o prestadores de servicios, como los proveedores de servicios de almacenamiento y procesamiento de datos o de servicios de seguridad gestionada
  • Seguridad en la adquisición, desarrollo y mantenimiento de redes y sistemas de información, incluida la gestión y divulgación de vulnerabilidades;
  • Políticas y procedimientos (pruebas y auditorías) para evaluar la eficacia de las medidas de gestión de riesgos de ciberseguridad;
  • El uso de criptografía y cifrado.

Cabe destacar que la nueva directiva NIS2, incrementa la importancia del CISO en las organizaciones.

La NIS2 es una gran oportunidad para que todos los CISO refuercen su posición dentro de la empresa. La directiva aporta una noción de responsabilidad de la dirección en la gestión de los riesgos de ciberseguridad, así como fuertes sanciones para los infractores.

El CISO toma el papel de guía y líder en las decisiones que deben tomarse, tanto en cuestiones técnicas como de negocio, así como el divulgador dentro de la organización incluyendo los altos directos de las políticas de ciberseguridad y las mejores prácticas.

¿Cómo podemos ayudarte desde A2SECURE respecto a la Directiva NIS2?

El equipo que integra A2SECURE está compuesto por auditores – técnicos y legales – que, como especialistas en evaluar los diferentes estándares de seguridad reconocidos en el ámbito europeo, cuentan con amplia experiencia en la implementación de los mecanismos normativos, con independencia del sector en que ésta sea aplicada.

De esta forma, nuestro equipo multidisciplinar de profesionales te ayudará en la adopción de medidas contempladas en la Directiva NIS2, adaptando sus preceptos a las necesidades de tu empresa; evaluando los riesgos en ciberseguridad, acompañándote en el desarrollo de los planes de respuesta ante ciberataques, brindándote asistencia en la notificación de incidentes, evitando incurrir en las eventuales sanciones previstas en la norma.

Los comentarios están cerrados.