Qué es la NIS2 y cómo debes cumplir con la directiva europea

Qué es la NIS2 y cómo debes cumplir con la directiva europea

Para eliminar las diferencias entre los Estados miembros en la aplicación de la Directiva NIS (2016) sobre la seguridad de las redes y sistemas de información, la Unión Europea ha promulgado la Directiva NIS2 (Network and Information Security), una pieza legislativa clave que busca reforzar la ciberseguridad y adoptar estrategias nacionales.

¿Qué es la NIS2?

La Directiva NIS2, sucesora de la Directiva inicial sobre seguridad de las redes y de la información, es un acto legislativo fundamental para reforzar la ciberseguridad y proteger las infraestructuras críticas en toda la Unión Europea (UE). Su objetivo principal es establecer un marco común para garantizar la seguridad de las redes y sistemas de información en sectores considerados críticos, como energía, transporte, salud, servicios financieros y digital.

Al subsanar las deficiencias de su predecesora y ampliar su alcance, la Directiva NIS2 amplía las disposiciones de seguridad, refuerza los mandatos de información y mejora las capacidades de gestión de crisis. Además, responde al aumento de ciberamenazas cada vez más sofisticadas y dañinas, estableciendo una estrategia de defensa sólida, integral y adaptable.

Cómo SMARTFENSE puede ayudar con el cumplimiento de la NIS2

Para asegurarse de cumplir con la NIS2, las organizaciones deben adoptar un enfoque integral que incluya los requisitos de gestión de riesgos, las obligaciones de informar y los planes de respuesta. Los artículos 7, 9, 20 y 21 resaltan la necesidad de concienciar tanto a los directivos como a los empleados para que posean los conocimientos y habilidades necesarios para identificar riesgos y evaluar prácticas de gestión de riesgos de ciberseguridad.

La plataforma ofrece diversas herramientas y funcionalidades que contribuyen a fortalecer la cultura de ciberseguridad de las empresas:

  1. Formación y Concienciación: SMARTFENSE ofrece una amplia variedad de módulos de aprendizaje que abordan diversas amenazas y mejores prácticas de seguridad. Esto permite a los empleados identificar y combatir eficazmente las amenazas. La plataforma está disponible en varios idiomas y cumple con los requisitos de formación en el idioma nativo de múltiples países. Además, la plataforma ofrece una vista centralizada donde los empleados pueden acceder a todos los módulos de formación y políticas de seguridad, incluyendo las políticas personalizadas de cada organización. Esto promueve el compromiso de los empleados, quienes también tienen acceso para formarse proactivamente en la plataforma.
  2. Gestión de Incidentes: SMARTFENSE proporciona herramientas para la gestión eficaz de incidentes de seguridad, permitiendo a las empresas identificar, investigar y responder rápidamente a posibles ciberamenazas. La herramienta de Botón de Reporte de Phishing que SMARTFENSE integra permite a los empleados notificar incidentes de seguridad con rapidez, agilizando la detección temprana de amenazas.
  3. Monitorización y Auditoría: El artículo 11 de la NIS2 requiere que los CSIRT proporcionen análisis dinámicos de riesgos e incidentes, así como arrojar conocimiento de la situación en ciberseguridad. La herramienta de Scoring de Riesgo de SMARTFENSE pone al factor humano en el centro de los análisis y métricas. Esto permite realizar un seguimiento del progreso de los programas de concienciación y acceder a análisis detallados, métricas y KPI relacionados con el riesgo humano en una organización.

¿Por qué la NIS2?

El panorama de las amenazas en Europa ha experimentado cambios significativos debido a la evolución constante de los hackers y el uso cada vez más sofisticado de la tecnología, incluidas herramientas de IA. La profesionalización de la industria de la ciberdelincuencia ha facilitado el lanzamiento de ataques, incluso a través de plataformas similares a las ofertas convencionales de SaaS. Además, las tensiones globales y los conflictos nacionales se reflejan en el espacio digital, con piratería estatal, ciberespionaje y ciberguerra en aumento. El aumento del trabajo remoto ha ampliado las oportunidades para los ciberdelincuentes al explotar vulnerabilidades como dispositivos personales inseguros y conexiones poco fiables.

El aumento de ciberataques afecta especialmente a sectores esenciales, como energía, educación, salud y transporte, que son atractivos para los ciberdelincuentes debido a la urgencia de sus servicios y la posibilidad de chantaje económico.

Para abordar estas amenazas, se han implementado medidas regulatorias como la Directiva NIS2 y DORA, que buscan coordinar respuestas y equipar mejor a las organizaciones europeas para contrarrestar las amenazas cibernéticas en constante evolución.

Los objetivos de la NIS2

Los objetivos de la NIS2 abarcan la resistencia digital y la gestión de amenazas, con un enfoque en mejorar la ciberseguridad para asegurar el rendimiento empresarial continuo, promover la colaboración y fomentar comportamientos seguros entre la fuerza laboral. Estos son los principales objetivos que busca lograr la NIS2:

  • Implementar prácticas de gestión de activos para identificar y proteger los sistemas y activos de información críticos.
  • Informar a las autoridades pertinentes y mantener la capacidad de respuesta ante incidentes.
  • Desarrollar y ejecutar estrategias de ciberseguridad junto con protocolos de gestión de riesgos.
  • Establecer protocolos de gestión de incidentes, notificación y planes de respuesta.
  • Diseñar una estrategia para garantizar la continuidad de los servicios críticos durante los ciberincidentes.
  • Implementar medidas de seguridad en la cadena de suministro para revisar y garantizar la seguridad de los proveedores externos.
  • Concienciar a los empleados sobre los protocolos óptimos de ciberseguridad.

  • Asegurar que los incidentes se comuniquen a los organismos adecuados y mantener una capacidad de respuesta ante incidentes.
  • Eliminar inconsistencias y mejorar la comunicación y la cooperación entre los Estados miembros.

Empresas y Entidades cubiertas por la NIS2

La NIS2 cubre más organizaciones que su predecesora NIS, enfocándose en empresas con al menos 50 empleados o 10 millones de euros en ingresos anuales.

Su criterio de segmentación de las organizaciones es el siguiente:

Empresas Esenciales:

  • > 250 empleados.
  • 50 millones de euros de facturación.
  • 43 millones de euros de balance.
  • Sectores:
    • Energía.
    • Transporte.
    • Banca.
    • Mercados financieros.
    • Sanidad.
    • Agua potable.
    • Aguas residuales.
    • Infraestructura digital.
    • Gestión de servicios TIC.
    • Administración pública.
    • Espacio.

Empresas Importantes:

  • de 50 a 250 empleados.
  • de 10 a 50 millones de euros de facturación.
  • de 10 a 43 millones de euros de balance.
  • Sectores:
    • Servicios postales y de mensajería.
    • Gestión de residuos.
    • Productos químicos.
    • Alimentos.
    • Industria manufacturera.
    • Proveedores digitales.
    • Organizaciones de investigación.

Ambas categorías deben cumplir con medidas de ciberseguridad, pero están sujetas a diferentes niveles de supervisión y sanciones.

Incluso si una organización no cumple con los criterios para ser una entidad esencial o importante, aún puede optar por cumplir con NIS2 para mejorar su sistema de ciberseguridad.

Estableciendo metas: Octubre 2024 se acerca

La Directiva NIS fue adoptada en julio de 2016 para mejorar la ciberseguridad en la UE, con un plazo hasta mayo de 2018 para su implementación. Sin embargo, en 2020 se reconoció la necesidad de una legislación más robusta, lo que llevó a la propuesta de la Directiva NIS2 en diciembre de 2020.

Después de un año de revisión, se acordó en 2022 y se publicó en diciembre de ese año. Entró en vigor en enero de 2023, y los Estados miembros tienen hasta octubre de 2024 para adoptarla. El incumplimiento conllevará multas y tasas. Se esperan informes periódicos sobre su implementación y revisión en 2025, y se realizará una revisión completa en 2027.

Conclusión

El cumplimiento de la NIS2 es crucial para garantizar la ciberseguridad en la Unión Europea y proteger la infraestructura digital de sectores críticos.

Cristian Fassi

Oltre 20 anni di esperienza nel settore IT e nella sicurezza informatica, vive in Italia da 15 anni e parla italiano. Relationship Building, B2B, Solution Selling, Key Account Development, Business Strategy for Cyber Security Awareness.

Deja una respuesta