Diversos eventos pueden surgir de forma inesperada en el cumplimiento de la Directiva NIS2 y amenazar la continuidad de las operaciones y actividades de tu negocio; especialmente aquellos relacionados con la ciberdelincuencia. De allí la importancia de aplicar medidas y tecnologías capaces de proteger la red interna de tu organización, impidiendo así la entrada a usuarios y dispositivos no autorizados.
Ahora bien, no basta implementar medidas internas, tu entorno operacional también debe hacerlo, entre ellos tus proveedores. Por este motivo nace la Directiva Network and Information Security (NIS2), un marco de seguridad de la información creado para garantizar la protección de los sistemas y las redes de información en la Unión Europea.
¿Qué es la Network and Information Security (NIS)?
La NIS es un conjunto de normas establecidas que garantizan la ciberseguridad para los Estados miembros de la Unión Europea. En ella se abarca la gestión de riesgos en ciberseguridad, la obligatoriedad de notificación para las entidades en su ámbito de aplicación, la concienciación sobre ciberseguridad y la supervisión y ejecución de las mismas.
Hasta el momento existen dos versiones, la NIS1 emitida en el año 2016 y la actualizada NIS2, vigente desde el 16 de enero de 2023. Ambas impulsadas por la necesidad de alcanzar un alto nivel común de seguridad en las redes y sistemas de toda la infraestructura crítica de la UE.
¿Cuándo entró en vigor la NIS2?
- La NIS2 entró en vigor en enero de 2023. A partir de esa fecha comenzó un periodo de adaptación.
- Durante este periodo, que de hecho culminó el 17 de octubre de 2024, cada estado de la Unión Europea tendría que incorporarla en su legislación nacional (aunque España a fecha de enero de 2025 tan solo ha publicado el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad).
- Cuando se publique la nueva ley en España, ésta será una actualización del RD 43/2021, que a su vez fue una transposición de la primera Directiva NIS.
- Y en 2027, la Comisión revisará el funcionamiento de la Directiva y proporcionará información sobre ella al Parlamento y al Consejo.
Requerimientos de la nueva Directiva NIS2 en materia de resiliencia y ciberseguridad
A fin de contribuir y reforzar ciberresiliencia en Europa, es preciso que cada uno de los Estados miembros adopte la nueva Directiva NIS2 lo que implica acatar los siguientes requerimientos:
- Implementar estrategias de ciberseguridad.
- Designar autoridades competentes que se encarguen de auditar, inspeccionar y supervisar las operaciones de entidades esenciales.
- Determinar autoridades de gestión de crisis de ciberseguridad.
- Establecer puntos de contacto únicos sobre ciberseguridad.
- Formar equipos CSIRT (Computer Security Incident Response Team); un grupo de expertos responsables de desarrollar medidas preventivas y reactivas ante incidencias de ciberseguridad.
Entes de la Unión Europea que contribuyen a la gestión de incidentes en conformidad con el marco NIS2
En el año 2020 La UE puso en marcha la EU-CYCLONe (Red Europea de Organización de Enlace De Crisis Cibernéticas). Una organización encargada de respaldar la gestión coordinada de los incidentes y las crisis de ciberseguridad a gran escala.
Además, ENISA (Agencia de la Unión Europea para la Ciberseguridad) contribuye en gran manera a la Comisión Europea y Grupo de Cooperación NIS al proporcionar guías y directrices actualizados, así las diferentes entidades pueden contar con una orientación práctica que les permita aplicar las normativas correctamente.
¿Por qué fue necesario crear la nueva Directiva NIS2?
- En primer lugar, porque han pasado 8 años desde la primera versión y durante este tiempo los ciberdelincuentes han avanzado y mejorado sus tácticas, siendo ahora la inteligencia artificial parte de sus estrategias.
- Segundo, el alcance de la NIS 1 era limitado, se había dejado por fuera distintos tipos de empresa y actividades.
- Y por último, no se consiguió que todos los países cumplieran la normativa de forma homogénea.
¿Por qué es importante que todas las empresas y organizaciones valoren la NIS2 como plan de continuidad para su negocio?
Porque el objetivo es aumentar la ciberresiliencia de la UE tanto en el sector público como en el privado. Para entenderlo mejor pongamos un ejemplo, supongamos que una fábrica de coche solicita un pedido a su proveedor de acero. No obstante, su proveedor le notifica que ha sido víctima de un ciberataque y por el momento no podrá completar su solicitud.
Esta incidencia puede generar dos importantes consecuencias:
- La paralización de sus operaciones al no contar con la materia prima para la fabricación de sus coches.
- El posible ataque cibernético a raíz del robo de información que pudo haber sufrido el proveedor, lo que incluye datos confidenciales de la fábrica de coche. Motivos por los que se preeve cambiar esta situación con el cumplimiento de la Directiva NIS2.
De allí que la UE exija a las organizaciones un enfoque más robusto para la gestión de riesgo y la resiliencia operativa a través de esta nueva normativa.
Alcance de aplicación de la NIS2
Existen 3 criterios para definir las diferentes organizaciones que deben cumplir con la NIS2. Son las siguientes:
- Toda empresa que ofrezca servicios o desarrolle actividades en cualquier país de la UE, indiferentemente de si su sede se encuentra dentro o fuera de la UE.
- Toda empresa u organización que cuente con más de 50 empleados y más de 10 millones de euros en ingresos.
- Toda entidad que opera en los siguientes sectores:
- Administración Pública
- Agua potable
- Aguas residuales
- Banca
- Energía
- Espacio
- Fabricación
- Fabricación, producción y distribución de sustancias y mezclas químicas
- Gestión de residuos
- Gestión de servicios de TIC (de empresa a empresa)
- Infraestructura digital
- Infraestructuras de los mercados financieros
- Investigación
- Producción, transformación y distribución de alimentos
- Proveedores de servicios digitales
- Sector sanitario
- Servicios postales y de mensajería
- Transporte
Ámbito de aplicación de la NIS2
Cabe destacar que la NIS2 en ámbito de aplicación hace distinción entre entidades esenciales (energía, sanidad, finanzas, entre otras) e importantes (incluida la producción de alimentos, la infraestructura digital y los servicios postales).
En este sentido, las entidades esenciales son aquellas a quienes se les exige a priori el cumplimiento de la Directiva NIS2 y la emisión de certificaciones que demuestren que sus actividades y operaciones cuentan con la seguridad requerida para proveer sus servicios.
Por otra parte, a las entidades importantes no se les exigiría a priori el cumplimiento de la normativa, pero en caso de una incidencia se exigirá la comprobación de su cumplimiento o no con la normativa.
Principales cambios para el cumplimiento de la Directiva NIS2
El marco NIS2 tiene base en la directiva anterior, pero con ciertas actualizaciones que le otorgan un enfoque más completo. Son los siguientes:
-
Ampliación del ámbito de aplicación
El marco NIS1 se aplicaba únicamente a operadores de servicios esenciales en sectores como energía, transporte, banca, entre otros. Mientras que la NS2 incluye proveedores de servicios digitales (DSP), plataformas en línea, sistemas de mercado en línea, motores de búsqueda, etc.
-
Obligaciones específicas para los DSP
Dada la inclusión a los proveedores de servicios digitales en el marco NIS2 fue menester introducir obligaciones específicas en términos de seguridad cibernética y notificación de incidencias.
-
Mayores exigencias en notificación de incidentes
En la NIS1 no era obligatorio informar sobre las incidencias, pero ahora en la NIS2 se exige notificar a los organismos oficiales las incidencias significativas en un lapso de 24 horas, proporcionar un informe detallado en un lapso de 72 horas y un informe final en máximo 30 días.
Nota: Se considera como incidencia significativa aquella que causa o existe la posibilidad de causar graves perturbaciones operativas o pérdidas financieras. También si ha afectado o puede afectar a otras personas o entidades.
-
Responsabilidad ejecutiva
La Directiva NIS2 introduce por primera vez la responsabilidad del órgano de dirección en la gestión de los riesgos de ciberseguridad y el cumplimento de la normativa.
-
Sanciones
Las sanciones por incumplimiento de la normativa son coherentes en toda la Unión Europea. Estas pueden variar desde multas administrativas hasta prohibiciones temporales para los directivos responsables.
Relación entre NIS2, ISO 27001, DORA y PIC/CER
Un hecho que hace más fácil la implementación de la nueva directiva NIS2, es la variedad de marcos y normativas que la mayoría de organizaciones llevan a cabo por años. A saber:
- ISO 27001:
Se trata de un estándar internacional que determina los requerimientos para la implementación y mejora de un sistema de gestión de seguridad de la información. Por supuesto, la NIS2 ofrece un enfoque más específico en el ámbito de aplicación y notificación de incidencia; con todo la ISO no deja de ser clave a la hora de establecer políticas y procedimientos de ciberseguridad dentro de las organizaciones.
- DORA (Digital Operational Resilience Act):
Por su parte Dora, la “Resiliencia Operativa Digital” aplicada a entidades financieras promueve el cumplimiento de normas bastante similares a la NIS2, principalmente con el fin de resistir y recuperarse de incidentes disruptivos. Por ejemplo, la evaluación continua y pruebas periódicas de sistemas de seguridad, pruebas de penetración y simulación de incidencia.
- CER (Critical Entities Resilience):
Esta normativa centrada en la resiliencia de las entidades críticas ante una amplia gama de amenazas, se alinea con la NIS2 al buscar proteger las infraestructuras destacando la necesidad de cooperación efectiva entre los estados miembros y las entidades.
Edorteam, la consultora tecnológica que vela por tu negocio
En Edorteam contamos con el apoyo de un equipo de expertos en ciberseguridad y protección de datos, más un departamento legal conformado por consultores altamente calificados.
Nuestro objetivo es proteger y favorecer la continuidad de tu negocio ayudándote a cumplir con cada uno de los requerimientos que determina el cumplimiento de la Directiva NIS2
¿Cómo lo hacemos?
- Desarrollamos una estrategia corporativa de ciberinteligencia adaptada a tus necesidades a fin de identificar los riesgos de incumplimiento a los que puedas enfrentarte. Además, ofrecemos formación continuada al equipo profesional.
- En caso de detectar amenazas y vulnerabilidades en tu red informática empresarial, dejamos a cargo a nuestro equipo técnico de sistemas y software, quien implementará las mejoras que tu empresa requiera, tanto en software como en hardware.
- Prevenimos y reducimos el impacto de un posible ciberataque y a su vez establecemos planes y procedimientos de respuesta a cualquiera incidencia que se presente.
Son más de 30 años ofreciendo la mejor solución en materia de ciberseguridad y legalidad a pymes y grandes empresas a nivel nacional. ¡Compruébalo por ti mismo!
0 comentarios