Blog Directiva NIS2: ¿qué implicaciones tiene?
Por Insight Editor / 2 Mar 2024 / Temas: Seguridad
Por: Dirk de Goede, especialista en soluciones de seguridad Insight
¿Qué es NIS2?
El próximo 18 de octubre entrará en vigor en Europa una nueva directiva para la seguridad de las redes y la información: NIS2. Debido al aumento de las ciberamenazas y a la gran dependencia social de las TI, se ha hecho evidente que las directrices actuales ya no son suficientes, por lo que se necesitan requisitos más estrictos por parte de la UE. NIS2 sigue por tanto la directriz NIS vigente desde 2018, que 'obligará' a más organizaciones a tener en orden su ciberseguridad. Sí, muy probablemente la suya también.
De NIS a NIS2
NIS, o Network & Information Systems, es una directiva europea que tiene como objetivo mejorar la resiliencia y la seguridad de las redes y los sistemas de información dentro de la UE. La directriz NIS se centra en sectores esenciales como el agua, la energía y las telecomunicaciones. Cuando las empresas de estos sectores fracasan, a menudo tienen un impacto perturbador en la economía y la sociedad. La primera directiva NIS tenía como objetivo garantizar que las empresas de estos sectores implementaran medidas adecuadas para garantizar la seguridad y la continuidad de sus redes y sistemas de información. Por ejemplo, se exigía que se denunciaran las violaciones de datos a las autoridades supervisoras y se imponían multas si las cosas no estaban bien.
Ahora ocurre que cada país de la UE podría determinar por sí mismo la implementación y el cumplimiento de esas reglas. Por tanto, la directiva NIS2 se publicó a finales del año pasado y da a los estados miembros hasta el 18 de octubre de 2024 para implementar los cambios y adaptar la legislación y las regulaciones. Se asegura de que:
- Los países de la UE estarán mucho más alineados en el campo de la ciberseguridad y, en particular, en su aplicación por parte de las autoridades supervisoras.
- La lista de sectores se va ampliando y se distingue entre empresas esenciales e importantes:
- Las empresas esenciales son empresas con 250 empleados o una facturación neta de más de 50 millones de euros y un balance total de 43 millones de euros. Estas empresas serán supervisadas proactivamente por las autoridades reguladoras.
- Las empresas importantes emplean a más de 50 personas y facturan anualmente más de 50 millones de euros. Estas empresas pueden esperar una auditoría de vez en cuando.
- Excepción: Tiene menos de 50 empleados y 50 millones de euros, pero ¿es usted un proveedor de servicios de confianza (servicios digitales que garantizan la confidencialidad, integridad y autenticidad de las transacciones, comunicaciones y documentos electrónicos)? Entonces su organización también debe cumplir con NIS2.
Supervisión activa
Si su empresa se encuentra bajo la directriz NIS2, esto tendrá las siguientes consecuencias:
- Cumplimiento: Está obligado a cumplir con las medidas de seguridad y las obligaciones de presentación de informes. Considere contar con las certificaciones correctas y reportar incidentes graves a las autoridades pertinentes.
- Mayor responsabilidad: Las empresas que no cumplan con la directiva NIS2 y como resultado pierdan información confidencial pueden ser consideradas responsables de las consecuencias. Esto incluye pérdidas financieras, daños a la reputación y responsabilidad legal.
- Costes: Lo más probable es que tenga que incurrir en costes adicionales para cumplir con la directriz. Considere adaptar los sistemas y procesos existentes, pero también capacitar a nuevas personas e implementar nuevas herramientas y monitorear amenazas potenciales.
Informar de estas amenazas potenciales es, en mi opinión, una medida muy drástica. Si bien la primera directriz de NIS exigía que usted informara los incidentes en un plazo de 24 horas, NIS2 también se aplica a amenazas potenciales. Esto significa que su departamento de TI tendrá que ser muy activo en el seguimiento y la generación de informes.
Lista de tareas
Aún no está del todo claro cómo habrá que informar más adelante y el cuarto trimestre de 2024 aún parece bastante lejano, pero sé por experiencia que la supervisión activa llevará muchísimo tiempo, por no hablar de configurar su seguridad de forma óptima. Esto último ya lo tiene en sus manos ahora, así que no espere hasta finales de año para revisar su seguridad y sus procedimientos y empiece a comprobar los siguientes aspectos:
- Análisis de riesgos: Descubra qué sistemas y servicios de su organización son más importantes y, por tanto, corren mayor riesgo en caso de hackeo.
- Continuidad del negocio: ¿Existe una buena copia de seguridad, pero también para la recuperación ante desastres y la gestión de crisis?
- Seguridad de la cadena de suministro: ¿Qué riesgos potenciales enfrenta su organización a través de proveedores externos y proveedores de servicios?
- Seguridad de las redes y los sistemas de información: ¿cómo se configuran y cómo se abordan las vulnerabilidades?
- Manejo de incidentes: ¿Cómo se manejan y posiblemente se registran los incidentes?
- Eficacia: ¿Cuáles son las políticas y procedimientos para probar la eficacia de la ciberseguridad?
- Capacitación: ¿Qué tan bien conocen todos la política informática dentro de la organización y si se cumple?
- Criptografía y cifrado: ¿Qué pasa con las políticas y procedimientos relacionados con el uso de criptografía y cifrado?
- Seguridad física: Desde personal, políticas de control de acceso y gestión de activos.
- Autenticación multifactor: se aplica a cuentas a las que se puede acceder desde Internet, que tienen derechos administrativos y a cuentas de sistemas esenciales.
Como puede ver, hay mucho que hacer para establecer y mantener una seguridad sólida. No sólo afecta a la tecnología, sino también a los procesos de la empresa y a las personas que trabajan en ella. La lista anterior le ayudará a determinar qué medidas debe aplicar o reforzar para estar lo más preparado posible para NIS2.
Si quiere saber más sobre este tema o intercambiar opiniones, no dude en ponerse en contacto con los especialistas en ciberseguridad de Insight.
Dirk de Goede
Security Solution Specialist Insight
