Reconociendo que las vulnerabilidades dentro de las cadenas de suministro pueden comprometer la seguridad de los servicios esenciales, la Unión Europea adoptó la Directiva sobre seguridad de las redes y la información 2 (NIS2) en diciembre de 2022. Esta versión actualizada, implementada en 2016, exige que las organizaciones apliquen medidas sólidas para gestionar y mitigar los riesgos asociados a sus relaciones con terceros. La Directiva NIS2 entró en vigor en octubre de 2024.
Esta publicación examina los tipos de organizaciones que deben cumplir con la NIS2, las sanciones por incumplimiento y cómo abordar los requisitos específicos de gestión de riesgos de terceros señalados en la NIS2.
¿Qué tipo de organizaciones deben cumplir con la NIS2?
La Directiva NIS2 se aplica a una amplia gama de organizaciones de toda la Unión Europea, centrándose en las entidades que prestan servicios esenciales o que se consideran importantes para la economía y la sociedad.
Categorías de entidades en la UE
NIS2 distingue entre dos tipos de entidades: esenciales e importantes.
Las entidades esenciales son aquellas organizaciones que prestan servicios fundamentales para la seguridad pública, la protección o la economía. Algunos ejemplos son las empresas de los siguientes sectores:
- Energía: Proveedores de electricidad, petróleo y gas.
- Transporte: Aerolíneas, ferrocarriles, compañías navieras
- Banca: Entidades de crédito
- Salud: hospitales, clínicas y proveedores de servicios sanitarios.
- Infraestructura digital: centros de datos, proveedores de servicios en la nube, redes de distribución de contenidos.
- Administración pública: autoridades responsables de funciones estatales clave.
Las entidades esenciales están sujetas a requisitos más estrictos en virtud de la directiva.
Las entidades importantes también desempeñan un papel fundamental, pero no se consideran tan críticas como las entidades esenciales. Están sujetas a una supervisión menos estricta, pero deben cumplir con la NIS2. Entre los sectores ejemplos se incluyen:
- Producción y distribución de alimentos
- Servicios postales y de mensajería
- Gestión de residuos
- Productos químicos
- Fabricación de productos críticos (por ejemplo, productos farmacéuticos)
En general, la NIS2 se aplica a las organizaciones en función de criterios específicos, como el sector y el servicio (mencionados anteriormente), el impacto crítico y el tamaño. Las entidades medianas y grandes (definidas por la UE como aquellas con más de 50 empleados o una facturación superior a 10 millones de euros) se incluyen automáticamente. Sin embargo, las pequeñas empresas y las microempresas no están cubiertas automáticamente, salvo en los casos en que sus servicios sean muy críticos (por ejemplo, un pequeño proveedor de energía en una zona remota).
Entidades fuera de la UE
La NIS2 también puede aplicarse a empresas no pertenecientes a la UE si prestan servicios a clientes en la UE u operan infraestructuras críticas para los Estados miembros de la UE. Dichas entidades deben designar a un representante dentro de la UE para garantizar el cumplimiento de las obligaciones de la NIS2.
Exenciones NIS2
La NIS2 no se aplica a determinadas funciones de seguridad nacional (por ejemplo, operaciones militares), organismos encargados de hacer cumplir la ley (en algunos casos) ni a pequeñas empresas y microempresas (a menos que sean críticas, como se ha mencionado anteriormente).
Cómo ha evolucionado NIS2 a partir de NIS
La NIS2 concede gran importancia a la seguridad de las cadenas de suministro y las relaciones con terceros. Las organizaciones deben gestionar de forma proactiva los riesgos introducidos por terceros para garantizar el cumplimiento y mantener la integridad de sus servicios. Con este fin, la NIS2 introdujo varias actualizaciones en sus directrices relativas al alcance, la responsabilidad y las sanciones por incumplimiento.
Ampliación del alcance: La NIS2 amplía su alcance a una gama más amplia de sectores y servicios, lo que significa que más organizaciones deben implementar prácticas estrictas de gestión de riesgos de terceros.
Mayor responsabilidad: La alta dirección es responsable de garantizar el cumplimiento de la NIS2, incluida la supervisión de la gestión de riesgos de terceros. Esto subraya la necesidad de que los líderes se impliquen en las iniciativas de ciberseguridad.
Sanciones potenciales: El incumplimiento de la NIS2 puede dar lugar a multas sustanciales y a un mayor escrutinio regulatorio, lo que pone de relieve la importancia de cumplir con los requisitos de gestión de riesgos de terceros.
Incumplimiento de la NIS2
La UE ha definido áreas específicas de incumplimiento de la NIS2 que podrían dar lugar a sanciones:
- No informar de incidentes: No informar de incidentes de ciberseguridad en el plazo inicial de 24 horas y no proporcionar un seguimiento en un plazo de 72 horas.
- Gestión inadecuada de riesgos: No implementar medidas adecuadas de gestión de riesgos, incluida la gestión de riesgos de terceros.
- No cooperación con las autoridades: obstruir investigaciones, rechazar auditorías u ocultar información a los reguladores.
- Prácticas de seguridad deficientes: incumplimiento de las medidas técnicas y organizativas de ciberseguridad requeridas.
Sanciones por incumplimiento de la NIS2
La NIS2 introduce sanciones significativas para las organizaciones que incumplan sus requisitos. Las sanciones están diseñadas para garantizar que las organizaciones se tomen en serio la ciberseguridad, especialmente en sectores críticos y esenciales.
Tipos de sanciones
Multas: El incumplimiento de la NIS2 puede dar lugar a sanciones económicas importantes, que varían en función de la gravedad de la infracción y del tamaño de la organización. En caso de infracciones graves, las multas se calculan normalmente como un porcentaje de la facturación anual global de la organización, hasta un máximo de 10 millones de euros o el 2 %, lo que sea mayor.
Sanciones administrativas: Los reguladores pueden imponer otras sanciones, como emitir instrucciones vinculantes para subsanar deficiencias, órdenes de cumplir con medidas específicas de ciberseguridad o, en casos extremos, suspender las licencias de explotación.
Las autoridades tienen en cuenta varios factores a la hora de determinar la sanción, entre ellos la naturaleza y gravedad de la infracción, la intención o la negligencia, o si ha habido infracciones anteriores. Los esfuerzos demostrados para mitigar los riesgos, como la aplicación de medidas correctivas o la cooperación con las autoridades, pueden reducir las sanciones.
Cabe destacar que la NIS2 responsabiliza explícitamente a la alta dirección de garantizar el cumplimiento. La falta de supervisión o la negligencia a nivel ejecutivo pueden dar lugar a responsabilidades personales, incluyendo posibles acciones legales.
Aunque cada Estado miembro de la UE es responsable de aplicar la NIS2 dentro de su jurisdicción, existe una cooperación transfronteriza entre las autoridades nacionales para las entidades que operan en varios Estados miembros, lo que garantiza una aplicación coherente.
Para evitar sanciones, las organizaciones deben realizar evaluaciones de riesgos periódicas, involucrar a sus directivos y consejos de administración, prepararse para la presentación de informes y formar al personal en prácticas sólidas de ciberseguridad.
Mejores prácticas para la gestión de riesgos de terceros de NIS2 Requisitos clave
La Directiva NIS2 incluye recomendaciones y requisitos específicos para que las organizaciones gestionen eficazmente los riesgos de terceros.
Establecer políticas de seguridad para la cadena de suministro
Las organizaciones deben establecer políticas integrales que aborden los aspectos relacionados con la seguridad en sus relaciones con proveedores directos y prestadores de servicios. Esto incluye evaluar la postura de seguridad de terceros y garantizar que cumplan con los estándares de ciberseguridad adecuados. Para cumplir con este requisito, desarrolle un marco integral para gestionar los riesgos de terceros, que aborde:
- Identificación y priorización de riesgos
- Evaluaciones y auditorías periódicas de seguridad
- Políticas para garantizar la alineación de terceros con los estándares de ciberseguridad de su organización.
Como parte de esto, proporcione formación y recursos a sus terceros para ayudarles a comprender y cumplir los requisitos de seguridad de NIS2. Fomente la colaboración y el intercambio de conocimientos sobre las amenazas emergentes y las mejores prácticas.
Realizar análisis y evaluaciones de riesgos.
Las entidades deben llevar a cabo análisis exhaustivos de diligencia debida y de riesgos para identificar las posibles vulnerabilidades que introducen los terceros. Esto implica evaluar la importancia crítica de los servicios de terceros y su posible impacto en las operaciones de la organización. Evalúe la postura de ciberseguridad del tercero, el cumplimiento de las normas del sector y la capacidad de respuesta ante incidentes. A continuación, clasifique a los proveedores en función de su importancia crítica para las operaciones y el posible impacto del riesgo.
Para simplificar el proceso, busque soluciones de gestión de riesgos de terceros (TPRM) que automaticen y agilicen las evaluaciones y establezcan un repositorio centralizado para los datos de los proveedores, incluyendo calificaciones de riesgo, estado de cumplimiento y evaluaciones históricas.
Garantizar procedimientos adecuados para la gestión y notificación de incidentes.
Las organizaciones deben contar con procedimientos claros para gestionar los incidentes que involucran a terceros. Esto incluye la detección oportuna, la respuesta y la notificación de los incidentes a las autoridades pertinentes, garantizando que los incidentes de terceros se traten con el mismo rigor que los internos. Para cumplir con este requisito, establezca un plan de respuesta a incidentes unificado que incluya la coordinación con terceros. Esto debe incluir:
- Canales de comunicación definidos para informar de incidentes.
- Procesos conjuntos de investigación y resolución
- Revisiones posteriores al incidente para mejorar las prácticas de gestión de riesgos.
Considere la posibilidad de contratar un seguro cibernético para gestionar los riesgos residuales en incidentes que involucren a terceros y evalúe si las pólizas de seguro de terceros cubren adecuadamente los riesgos de la cadena de suministro.
Supervisar y evaluar continuamente a terceros
Es esencial realizar un seguimiento continuo de las prácticas de seguridad de terceros. Las organizaciones deben evaluar periódicamente la eficacia de sus medidas de gestión de riesgos de terceros y adaptarlas según sea necesario para hacer frente a las amenazas en constante evolución. Para cumplir este requisito, implemente un seguimiento continuo de las actividades de terceros, incluyendo:
- Evaluaciones periódicas de ciberseguridad o pruebas de penetración.
- Monitorización en tiempo real de comportamientos anómalos
- Actualizaciones de las evaluaciones de riesgos basadas en nuevas amenazas o cambios en las operaciones del proveedor.
Hacer cumplir las obligaciones contractuales
Incluir requisitos de ciberseguridad claros y exigibles en los contratos con terceros. Los elementos clave pueden incluir:
- Cláusulas de cumplimiento: Los proveedores deben cumplir los requisitos de seguridad aplicables de la NIS2.
- Obligaciones de notificación de incidentes: los proveedores deben notificar los incidentes de ciberseguridad sin demora.
- Derechos de auditoría: Hacer auditorías regulares de las prácticas de seguridad de terceros.
- Cláusulas de rescisión: Permitir la rescisión de los contratos por incumplimiento o por un rendimiento deficiente en materia de seguridad.
Esto garantiza que los terceros estén obligados contractualmente a mantener las medidas de seguridad adecuadas y a informar de los incidentes con prontitud.
Al incorporar estas prácticas en la estrategia de gestión de riesgos de terceros de su organización, puede garantizar el cumplimiento de la NIS2 y minimizar los riesgos que plantean los proveedores externos.
Cómo Mitratech puede ayudar a cumplir los requisitos de gestión de riesgos de terceros de la NIS2
Como parte de la plataforma de gestión de riesgos empresariales de Mitratech, la solución Prevalent TPRM automatiza la evaluación, supervisión y gestión de los riesgos de terceros en consonancia con su programa más amplio de ciberseguridad y gestión de riesgos empresariales. Con la solución Prevalent, su equipo puede:
- Cree un programa de gestión de riesgos de terceros de primer nivel respaldado por expertos dedicados, políticas, flujos de trabajo e informes NIS2 específicos.
- Centralice la distribución, discusión, conservación y revisión de los contratos con terceros para garantizar que se incluyan, acuerden y apliquen los requisitos clave.
- Evaluar el riesgo inherente para informar la elaboración de perfiles, la clasificación y la categorización de terceros, y para determinar el alcance y la frecuencia adecuados de las actividades de diligencia debida en curso.
- Automatice el proceso de evaluación y corrección de riesgos en todas las etapas del ciclo de vida de los terceros utilizando una amplia biblioteca con más de 750 plantillas de cuestionarios adaptadas a múltiples marcos de mejores prácticas y con orientación integrada para la corrección.
- Realizar un seguimiento y análisis continuos de las amenazas externas a terceros mediante la supervisión de Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades, e incorporar esa información para validar los controles de los proveedores de servicios externos.
- Automatice las capacidades de respuesta ante incidentes para mitigar los incidentes de terceros antes de que afecten al negocio.
Para obtener más información sobre cómo Mitratech puede simplificar el cumplimiento de la normativa NIS2 sobre gestión de riesgos de terceros, solicite una demostración hoy mismo.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
