NIS2: Prepare su organización para el futuro de la ciberseguridad
Cómo cumplir con los requisitos de seguridad europeos
NIS se convierte en NIS2
La fecha límite para la transición de NIS a NIS2 se acerca rápidamente. Se espera para finales de 2024 una legislación basada en esta directiva europea para la seguridad de las redes y los sistemas de información. Es probable que esto afecte a su organización, especialmente porque NIS2 se aplica a muchas más organizaciones que la antigua guía NIS. Además, estas organizaciones deben cumplir muchos más requisitos de seguridad.
¿Está su organización preparada para NIS2?
Dirk de Goede, especialista en soluciones de seguridad de Insight, explica cuáles pueden ser las consecuencias para empresas y organizaciones.
NIS2, Prepara tu organización para la nueva normativa europea
¡Permanezca atento a nuestro webinar!
Fecha: Martes 16 de abril de 2024
Hora: 16h00
“Para cumplir con las directrices de NIS2.0, es importante determinar qué sistemas y servicios de su organización califican como infraestructura crítica y qué riesgos existen. En base a esto, puede determinar qué medidas necesita implementar y cómo puede integrarlas en su organización.”
Dirk de Goede
Security Solution Specialist de Insight
NIS2 en resumen:
La versión revisada de la actual directiva europea NIS se introdujo a principios de 2023. Esta directiva, NIS2, tiene como objetivo mejorar y garantizar el nivel de seguridad de las redes y sistemas en toda la UE y reducir el impacto de los ciberataques en la economía y la sociedad.
NIS2 introduce reglas más estrictas que la directriz NIS original, porque ya no era suficiente para los desafíos digitales actuales. La directiva incluye, entre otras cosas, medidas para gestionar los riesgos de ciberseguridad y obligaciones de notificación de incidentes.
Las empresas que se acojan a las nuevas directrices NIS2 tienen hasta el 17 de octubre de 2024 para adaptarse al nuevo estándar..
¿A quién se aplica NIS2?
NIS2 se aplica a los siguientes sectores:
Categoría 1: energía, transporte, banca, infraestructura del mercado financiero, atención sanitaria, agua potable, aguas residuales, infraestructura digital, gestión de servicios TIC, gobierno y espacio.
Categoría 2: servicios postales y de mensajería, gestión de residuos, fabricación, producción y distribución de productos químicos, producción, procesamiento y distribución de productos alimenticios, fabricación, proveedores digitales e investigación.
La directiva se aplica a organizaciones dentro de estos sectores, con un mínimo de 50 empleados y/o un volumen de negocios anual (y/o un balance general anual) de 10 millones de euros. Sin embargo, también hay situaciones específicas en las que el tamaño de las organizaciones no influye.
Las organizaciones cubiertas por la Directiva NIS2 se consideran al menos "entidades importantes". Las organizaciones de categoría 1 con al menos 250 empleados y/o un volumen de negocios anual de 50 millones de euros y/o un balance general anual total de 43 millones de euros se consideran "entidades esenciales". Estas empresas se enfrentan a una supervisión y aplicación de la ley más estrictas que las "entidades importantes".
¿Cuáles son los aspectos principales de NIS2?
A continuación se muestran algunos temas clave a que se refiere NIS2::
1. Propiedad del riesgo: la junta tiene un papel importante para garantizar el cumplimiento de los requisitos de gestión de riesgos. La junta debe aprobar medidas de gestión de riesgos de ciberseguridad y supervisar su implementación. La junta puede ser considerada personalmente responsable del incumplimiento de su obligación de garantizar el cumplimiento de la directiva.
2. Requisitos de seguridad: el artículo 21 de la Directiva NIS2 contiene una lista de medidas de gestión de riesgos de ciberseguridad que las entidades esenciales e importantes deben implementar para proteger sus redes y sistemas de información. Estas medidas incluyen manejo de incidentes, continuidad del negocio y gestión de crisis, prácticas básicas de ciberhigiene y políticas y procedimientos relacionados con el uso de cifrado.
3. Seguridad de la cadena de suministro: si su organización se rige por la directiva NIS2, deberá prestar atención específica a la seguridad de la cadena de suministro. Esto incluye identificar vulnerabilidades relacionadas con proveedores y prestadores de servicios, así como evaluar la calidad de sus productos y prácticas de ciberseguridad.
4. Notificación de incidentes: Las entidades esenciales e importantes deben proporcionar alerta temprana al Equipo de Respuesta a la Información de Seguridad Informática (CSIRT) del gobierno o a la autoridad competente dentro de las 24 horas posteriores a un incidente importante e informar el incidente dentro de las 72 horas. Las organizaciones también deben informar a sus clientes sobre las incidencias. Los incidentes graves se definen en la directiva como incidentes que causan graves perturbaciones operativas de los servicios o pérdidas financieras para la organización, así como daños materiales o no materiales importantes a otras personas o entidades.
¿Cómo prepararse para NIS2?
Si su organización se rige por la directriz NIS2, es importante comenzar los preparativos con antelación, ya que implementar los temas mencionados lleva mucho tiempo.
Insight ofrece un enfoque integrado para ayudar a su organización a cumplir con la directriz NIS2. Nuestro enfoque se centra en utilizar los procesos existentes dentro de su organización como base para el cumplimiento de NIS2, teniendo en cuenta otras directivas y regulaciones de la UE.
Podemos ayudarle a identificar las acciones necesarias para ayudar a su organización a dar los primeros pasos. Deje que Insight lo ayude a construir una base sólida para el cumplimiento de NIS2 y proteger su organización de las amenazas cibernéticas.
Reserve una reunión con un experto
Descubra todo lo que necesita saber sobre NIS2 durante una sesión de expertos, ¡dirigida específicamente a su organización!
Durante esta sesión profundizaremos en la normativa NIS2, centrándonos en su situación específica y las consecuencias reales para su organización. La sesión va a proporcionarle una descripción general completa del impacto de NIS2 en su organización. Considere cuestiones como el deber de diligencia, la presentación de informes y supervisión y la responsabilidad. Durante la sesión definimos claramente los próximos pasos y una 'llamada a la acción' para preparar su organización para NIS2.