NIS2 ha mejorado la Directiva NIS para apoyar un programa de ciberseguridad más sólido para la UE. Más proveedores de servicios deben prepararse para una normativa más estricta... ¿está usted preparado?
La Directiva sobre seguridad de las redes y de la información (NIS), introducida inicialmente hace más de ocho años, ha sido una piedra angular en la mejora de la ciberseguridad en toda la Unión Europea (UE). Ahora, con la inminente llegada de la NIS2, cuya entrada en vigor está prevista para octubre de este año, las empresas deben prepararse para navegar por un nuevo marco normativo que se basa en su predecesora al tiempo que introduce actualizaciones y mejoras cruciales.
NIS y NIS2: ¿cuál es la diferencia?
La Directiva NIS, que se estableció en 2016 para modernizar el marco jurídico en torno a los ciberriesgos y la preparación de las empresas, se modificó y amplió en 2023 con la NIS2.
La rápida transformación digital posterior a Covid trajo consigo un panorama más complejo de amenazas a la ciberseguridad. Dada la creciente interdependencia de los sistemas, las cadenas de suministro, etc., una amenaza que surja en un sector tiene efectos de gran alcance. En otras palabras, el ecosistema empresarial de la UE está más interconectado y es más interdependiente que nunca, y los miembros deben tomar medidas contra las amenazas ahora para asegurarse de que están preparados para hacer frente a los crecientes riesgos. Mientras los Estados miembros mantienen unas normas de ciberseguridad más estrictas para mejorar la resistencia, más empresas deben prepararse para el nuevo orden.
La Directiva SRI ha mejorado sin duda la resistencia de los sistemas de información en la UE, pero, dados los rápidos cambios de la economía digital, también ha mostrado ciertas limitaciones.
Según el sitio web de la Unión Europea, la Directiva SRI se quedó corta en lo que respecta a:
- Preparar a las empresas de la UE con resiliencia ante las amenazas a la ciberseguridad
- Preparar a los Estados miembros y a los sectores con capacidad de recuperación ante las amenazas a la ciberseguridad
- Crear un entendimiento común entre los Estados miembros sobre las principales amenazas y retos de la ciberseguridad
- Falta de respuesta conjunta
La NIS2 responde y mejora los retos de la anterior Directiva NIS ampliando el número y los tipos de entidades sujetas a la normativa de ciberseguridad, racionalizando las categorías de estas entidades, impulsando la colaboración entre departamentos, reforzando los requisitos de información, etc.
¿Cuáles son los componentes clave de NIS2?
Ampliación del ámbito de aplicación:
La NIS2 amplía el ámbito de aplicación de las normas anteriores incorporando sectores adicionales en función de su digitalización, interconexión e importancia para la economía y la sociedad. Introduce un umbral de tamaño claro, que abarca todas las empresas medianas y grandes dentro de los sectores seleccionados. Los Estados miembros, sin embargo, tendrán discrecionalidad para identificar entidades más pequeñas con perfiles de alto riesgo de seguridad para su inclusión en la Directiva.
Taxonomía simplificada:
La nueva Directiva amplía el número de entidades sujetas a medidas reguladoras y simplifica sus categorías al eliminar la distinción entre operadores de servicios esenciales y proveedores de servicios digitales. Dependiendo de la categoría en la que se encuadre una entidad (esencial o importante), la Directiva introduce nuevos requisitos de seguridad e información.
Requisitos reforzados de seguridad y notificación:
El Reglamento mejora y racionaliza los requisitos de seguridad y notificación para las empresas, especificando los procesos de notificación de incidentes, el contenido y los plazos. Su objetivo es armonizar los regímenes sancionadores de los Estados miembros para garantizar la coherencia de las sanciones por incumplimiento.
Coherencia mediante la colaboración:
NIS2 se basa en las relaciones y organismos reguladores existentes para garantizar la coherencia entre los Estados miembros, con respecto a las sanciones, y en coordinación con otras entidades. El sitio web dedicado informa: "Los Estados miembros, en cooperación con la Comisión y la ENISA, podrán llevar a cabo evaluaciones coordinadas del riesgo para la seguridad de las cadenas de suministro críticas a nivel de la Unión, basándose en el enfoque adoptado con éxito en el contexto de la Recomendación de la Comisión sobre la ciberseguridad de las redes 5G." La NIS2 también eleva el papel del Grupo de Cooperación en la configuración de las decisiones políticas estratégicas, y fomenta la comunicación y la coordinación a través de la red europea de organizaciones de enlace para crisis cibernéticas.
Nuevo marco gubernamental:
NIS2 crea un marco básico para gestionar las vulnerabilidades en toda la UE. Esto incluye, por ejemplo, una base de datos de vulnerabilidades de la UE que será gestionada y mantenida por la agencia de la UE para la ciberseguridad.
¿Cómo se implican las empresas en NIS2?
Las empresas de cara al NIS2 están tomando nota del refuerzo de los requisitos de seguridad y notificación. Los Estados miembros esperarán que las empresas sujetas al NIS2 gestionen, prevengan y minimicen el impacto de los incidentes en los destinatarios de sus servicios. En general, habrá evaluaciones de riesgo más rigurosas y expectativas más detalladas en materia de notificación.
El artículo 21 de la NIS2 establece: "Los Estados miembros velarán por que las entidades esenciales e importantes adopten medidas técnicas, operativas y organizativas adecuadas y proporcionadas para gestionar los riesgos que se plantean para la seguridad de las redes y sistemas de información que dichas entidades utilizan para sus operaciones o para la prestación de sus servicios, y para prevenir o minimizar el impacto de los incidentes en los destinatarios de sus servicios y en otros servicios."
¿Cómo gestiona el riesgo NIS2?
La directiva directiva prevé que las entidades pertinentes construirán y apoyarán
- políticas de análisis de riesgos y seguridad de los sistemas de información;
- gestión de incidentes;
- continuidad de la actividad, como gestión de copias de seguridad y recuperación en caso de catástrofe, y gestión de crisis;
- la seguridad de la cadena de suministro, incluidos los aspectos de seguridad relativos a las relaciones entre cada entidad y sus proveedores directos o proveedores de servicios
- seguridad en la adquisición, desarrollo y mantenimiento de redes y sistemas de información, incluida la gestión y divulgación de vulnerabilidades;
- políticas y procedimientos para evaluar la eficacia de las medidas de gestión de los riesgos de ciberseguridad;
- prácticas básicas de ciberhigiene y formación en ciberseguridad;
- políticas y procedimientos relativos al uso de la criptografía y, en su caso, del cifrado;
- seguridad de los recursos humanos, políticas de control de acceso y gestión de activos;
- el uso de soluciones de autenticación multifactor o autenticación continua, comunicaciones de voz, vídeo y texto seguras y sistemas de comunicación de emergencia seguros dentro de la entidad, cuando proceda.
Las empresas no están esperando a octubre para empezar. Por el contrario, están empezando ya sus evaluaciones de riesgos, formación interna y documentación.
Algunas medidas que están tomando:
- Realizar una evaluación exhaustiva
- Comprender la aplicabilidad y la clasificación
- Revisión y actualización de políticas y procedimientos
- Mejorar las medidas de seguridad
- Establecer capacidades de respuesta a incidentes
- Facilitar el intercambio de información y la cooperación
- Manténgase informado y comprométase con las autoridades
- Invertir en formación y sensibilización
- Supervisar la evolución de la normativa
Contacte con nuestro equipo para obtener más información sobre cómo sus equipos pueden aprovechar las soluciones de Mitratech con el marco NIS2 y las plantillas disponibles para acelerar su viaje de cumplimiento NIS2 y utilizar las poderosas ventajas de asociarse con la tecnología GRC de próxima generación.
¿Nuestra prioridad? En su éxito.
Programe una demostración u obtenga más información sobre los productos, servicios y compromiso de Mitratech.
