Blog

General

Descubriendo NIS2: Lo esencial para los Responsables de Seguridad

La Directiva NIS2 establece una serie de medidas destinadas a lograr un alto nivel común de ciberseguridad en las empresas esenciales e importantes de toda la Unión Europea, con el fin de optimizar el funcionamiento del mercado interior, y aumentar la competitividad y productividad dichas empresas.

Esta directiva europea se aprobó el 14 de diciembre de 2022 y cada estado tendrá que trasponerla en ley de obligado cumplimiento antes del 17 de octubre de 2024.

Por lo que, si eres CEO, CTO, CISO o Responsable de Sistemas, esto te interesa.

¿Qué es la Directiva NIS2?

La Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión (NIS2) es una evolución de la NIS1, que pretende subsanar deficiencias observadas, ampliando su ámbito de aplicación, e introduciendo un enfoque más completo y armonizado de la ciberseguridad. NIS2 pone el foco en una mejor gestión del riesgo, análisis y auditorías de seguridad internas, así como la gestión la cadena de suministro.

Sus objetivos clave son:

  1. Establecer requisitos de ciberseguridad estándar para empresas y organizaciones en toda la UE.
  2. Ampliar el alcance de NIS para cubrir más sectores y entidades.
  3. Introducir obligaciones de notificación de incidentes y medidas coercitivas más estrictas.
  4. Promover mejor colaboración e intercambio de información sobre inteligencia de amenazas entre los Estados miembros.
  5. Garantizar un alto nivel de seguridad IT y resiliencia operativa para empresas como norma en toda la UE.

Principios básicos de la NIS2

Esta nueva normativa introduce un amplio conjunto de principios básicos que instrumenta como requisitos mínimos de ciberseguridad que las empresas deberán cumplir:

  • Evaluación y Gestión de Riesgos: Las organizaciones deben establecer políticas y procedimientos formales para llevar a cabo evaluaciones periódicas de riesgos, identificar vulnerabilidades e implementar controles de seguridad adecuados para gestionar los riesgos identificados.
  • Respuesta y Notificación de Incidentes: Las organizaciones deben tener claramente asignadas las funciones y responsabilidades dentro del equipo para poder responder a los incidentes de la mejor manera, así como procedimientos establecidos para notificar a las autoridades designadas cuando ocurran incidentes.
  • Control de Acceso y Autenticación: Es necesario implementar controles de acceso efectivos, como el uso de autenticación multifactor para prevenir el acceso no autorizado a los sistemas y la información.
  • Seguridad en la Cadena de Suministro: Las organizaciones deben identificar y gestionar los riesgos de ciberseguridad en toda su cadena de suministro, y aplicar medidas de seguridad adecuadas en sus relaciones con proveedores directos y servicios contratados.
  • Protección y Encriptación de Datos: Las organizaciones deben asegurar que los datos sean confidenciales, íntegros y estén disponibles, utilizando técnicas como la encriptación y otras medidas de protección de datos.
  • Gestión de Vulnerabilidades: Las organizaciones deben tener procesos para identificar y gestionar vulnerabilidades, incluyendo evaluaciones regulares y la rápida aplicación de parches a las vulnerabilidades identificadas.
  • Copias de Seguridad y Continuidad de las Actividades: Es crucial que las organizaciones tengan sólidas capacidades para gestionar copias de seguridad y planes de recuperación ante desastres, asegurando la continuidad de los servicios esenciales en caso de incidentes disruptivos.
  • Sensibilización y Formación en Ciberseguridad: Las organizaciones están obligadas a proporcionar programas regulares de formación adaptados a la directiva y empleados en materia de ciberseguridad para que su personal esté preparado para reconocer y responder a las amenazas cibernéticas.
  • Gobernanza y Responsabilidad: La dirección de la organización debe implicarse activamente en la supervisión y aprobación de las medidas de ciberseguridad, las estrategias de gestión de riesgos y los planes de respuesta a incidentes.

Empresas que deben cumplir

Hay 3 criterios que debe cumplir una empresa para que esté obligada a cumplir con la regulación NIS2:

  1. Tener sede o prestar servicios en algún país de la Unión Europea.
  2. Pertenecer a alguno de los sectores considerados críticos mencionados en el anexo I de la directiva y que listaremos en el siguiente apartado.
  3. Ser una mediana o gran empresa. Una empresa mediana es la que tiene entre 50 y 250 empleados y no supera 10 millones de ingresos. Una gran empresa supera los 250 empleados y los 10 millones de facturación.

De manera general, si una empresa es mediana y está en uno de los sectores críticos se considerará entidad importante y si es gran empresa se considerará entidad esencial. Existen otros supuestos en los que una entidad pueda considerarse esencial incluso siendo microempresa como que sólo esta empresa preste un servicio considerado crítico o que un incidente causara una perturbación significativa en cualquier sector considerado crítico.

Algo importante a tener en cuenta es que es posible no estar afectado directamente por no tener el tamaño, o no estar en un sector crítico pero tener que cumplir “voluntariamente” por formar parte de la cadena de suministro de una empresa afectada esencial o importante. La directiva hace mucho hincapié en que los proveedores deben tener el mismo nivel de seguridad que las propias empresas.

Sanciones por incumplimiento

El fortalecimiento de las empresas se ha convertido en un asunto prioritario para la comisión europea y los estados, por lo que no cumplir con la regulación NIS2  tiene sanciones severas que incluyen cancelación de licencias y multas administrativas de hasta 10 millones de euros o el 2% de la facturación. También hay multas, inhabilitaciones y responsabilidades penales para las personas del consejo de administración de una empresa que no cumpla. Además, se publicará un "hall of shame" donde se hará público el nombre completo de las personas sancionadas en los últimos cinco años, lo que podría afectar sus oportunidades de empleo futuras.

Sectores identificados como críticos por NIS2

Sectores de Alta Criticidad:

  • Energía
  • Transporte
  • Banca
  • Infraestructuras de mercados financieros
  • Sector Sanitario
  • Agua potable y residual
  • Infraestructura digital
  • Servicios TIC (B2B)
  • Administración pública
  • Espacio

Otros Sectores Críticos:

  • Servicios Postales y de Mensajería
  • Gestión de Residuos
  • Fabricación y distribución de sustancias químicas
  • Producción y distribución de alimentos
  • Fabricación
  • Proveedores de servicios digitales
  • Investigación

*Para saber la lista definitiva de sectores habrá que esperar a que la directiva se transponga en ley. Cabe destacar que con la versión anterior el gobierno español añadió más sectores de servicios esenciales para armonizarlos con los del anexo de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas.

Cómo Prepararse para el Cumplimiento de la NIS2

Para conseguir el cumplimiento podemos resumir las actividades a desarrollar en las siguientes:

  1. Desarrollar un programa de gestión de riesgos IT.
  2. Desarrollar e impartir un plan de formación en seguridad TIC para directivos y empleados clave.
  3. Implantar un marco básico de medidas consideradas de higiene TIC.
  4. Desarrollar un plan de continuidad de negocio que incluya un plan de recuperación contra desastres.
  5. Desarrollar un plan de seguridad de recursos humanos y control de acceso.
  6. Asignar presupuesto y recursos suficientes
  7. Desarrollar un plan y controles para gestión de vulnerabilidades.
  8. Redactar un conjunto de políticas y procedimientos de seguridad considerados básicos
  9. Revisión y armonización en seguridad de tu cadena de suministro
  10. Incremento de seguridad en redes y equipos de cómputo.

Cumplimiento de NIS2. Una oportunidad para crecer

En GrayHats creemos firmemente que cumplir con esta normativa no es solo una obligación legal, sino una oportunidad para mejorar la seguridad y resiliencia que tu empresa necesita para crecer de manera sólida y sostenible.

Si crees que tu empresa debe cumplir con esta regulación y quieres conocer nuestro servicio integral de cumplimiento de NIS2 contacta con nosotros en info@grayhats.com

Autor; Javier Jiménez, CEO GrayHats |  (linkedin)
Hacemos crecer a nuestros clientes mediante a la seguridad
More info