Saltar al contenido

DIRECTIVA NIS 2. ¿Qué es y cómo funciona?

Debido al gran volumen de tráfico de datos por medios electrónicos que existe hoy en día, la Unión Europea ha decidido reforzar la ciberseguridad con nuevas normativas como la que vamos a comentar hoy, la Directiva NIS2. Veremos qué es a nivel general y comentaremos brevemente las mejoras a nivel de ciberseguridad que introduce esta nueva Directiva.

¿Qué es la directiva NIS2?

Con arreglo a la Directiva NIS2, cualquier empresa que opere en la UE en uno o varios sectores como el transporte, la energía, la sanidad y las finanzas, que emplee a más de 50 personas y tenga un volumen de negocios anual superior a 10 millones de euros, se considera automáticamente significativa o sustancial y entra en el ámbito de aplicación de la Directiva.

Se calcula que el cambio de criterios de la Directiva NIS a la Directiva NIS2 podría multiplicar por diez el número de empresas cubiertas por la Directiva.

Sanciones de la directiva NIS2

La nueva Directiva también prevé sanciones económicas más severas en caso de incumplimiento, ya que las organizaciones podrán ser sancionadas con multas de hasta 10 millones de euros o el 2% del volumen de negocios anual mundial, la cantidad que sea mayor.

¿Cómo funciona la directiva NIS2?

Para evaluar plenamente los riesgos potenciales, las instalaciones deben identificar sus activos y servicios clave, así como sus vulnerabilidades potenciales.

Se necesitan directrices sectoriales de evaluación de riesgos nacionales o europeas para definir una instalación como crítica o importante a efectos de la Directiva NIS2.

Una vez realizada una evaluación de riesgos exhaustiva, deben tomarse las medidas adecuadas para prevenir, detectar, responder y mitigar los riesgos.

Estas medidas van desde la higiene básica de la seguridad, como la aplicación oportuna de parches y actualizaciones de seguridad, el control de acceso y la formación de todo el personal en buenas prácticas de seguridad, hasta la aplicación de medidas de ciberseguridad exhaustivas y de varios niveles.

Por muy eficaces que sean las contramedidas, los incidentes son inevitables, ya sea por fallos en los equipos o las comunicaciones o por una intrusión, quizá a través de un vector de ataque desconocido hasta ahora.

Cuando esto ocurre, las empresas necesitan tener un plan detallado y responder inmediatamente, ya que los daños y costes potenciales pueden aumentar exponencialmente con cada segundo que pasa.

Crear resiliencia es esencial para garantizar que las organizaciones puedan seguir funcionando a pesar del tiempo de inactividad, los ciberataques u otros sucesos inesperados.

El punto de partida debe ser una arquitectura de alta disponibilidad con conmutación automática por error y copias de seguridad externas de todos los datos críticos.

El uso de la tecnología SD-WAN también puede ayudar a garantizar una conectividad fiable, segura y eficiente entre los sitios, lo que permite a las organizaciones mantener la continuidad del negocio y mejorar su resistencia general a posibles interrupciones.

Más acerca de la directiva NIS2

La Directiva NIS2 subraya la importancia de compartir información sobre ciberamenazas, incidentes, vulnerabilidades, herramientas y métodos, tácticas, técnicas y procedimientos, preparativos y ejercicios de gestión de crisis de ciberseguridad, formación, creación de confianza y acuerdos estructurados de intercambio de información.

La iniciativa “CyCLONe” de la UE es un claro ejemplo de esfuerzo concertado para mejorar las capacidades de gestión de crisis cibernéticas mediante el fomento de la cooperación y el intercambio de información entre los Estados miembros de la UE.

La Directiva NIS2 subraya la importancia de gestionar los riesgos de ciberseguridad de terceros y de la cadena de suministro. Incidentes recientes, como la vulnerabilidad Log4j, demuestran el impacto potencial de las vulnerabilidades de la cadena de suministro en la postura de seguridad de una organización. Para cumplir eficazmente los requisitos de la Directiva NIS2, las organizaciones deben seguir las recomendaciones del Marco de Ciberseguridad (CSF) 2.0 y adherirse a las normas de seguridad de la información establecidas, como la ISO 27001.

Unos sistemas de gestión de la seguridad de la información (SGSI) sólidos deben abarcar todo el ciclo de vida de los sistemas de información. La guía NIS2 se centra en la identificación, gestión y divulgación oportunas de las vulnerabilidades de acuerdo con las directrices definidas en normas internacionales como ISO 27001 Anexo A.14, ISO/IEC 30111 e ISO/IEC 29147.

La integración de marcos como el NIST CSF puede mejorar aún más las prácticas de seguridad en la adquisición, desarrollo y mantenimiento de sistemas y garantizar un enfoque global y resistente.

La Directiva NIS2 exige a las organizaciones que evalúen periódicamente sus medidas de gestión de riesgos de ciberseguridad. La implantación de un marco como PolicyOps puede simplificar el proceso de evaluación y gestión de las políticas y procedimientos de seguridad de su organización.

Con PolicyOps, puede automatizar la evaluación de las políticas de seguridad de su organización, supervisar el cumplimiento y garantizar que sus medidas de gestión de riesgos cumplen los requisitos de la directiva NIS2 y otras normas de seguridad pertinentes. La automatización de su proceso de gestión de riesgos de ciberseguridad puede ayudarle a mantener una postura de seguridad sólida y a demostrar el cumplimiento de la normativa.

Prepararse para el cumplimiento de la Directiva NIS2 no es sólo un requisito legal, sino también una oportunidad para reforzar la ciberseguridad de su organización.

Mientras las agencias y autoridades nacionales de ciberseguridad trabajan para incorporar la Directiva NIS2 a su legislación, las empresas deben evaluar y responder de forma proactiva a sus necesidades de ciberseguridad.

Esperar a la plena aplicación de la Directiva podría ser perjudicial para las empresas, exponiéndolas a posibles ciberamenazas y dejándolas atrás en un panorama de ciberseguridad en rápida evolución.

Mediante la evaluación proactiva de la posición actual de su organización en materia de ciberseguridad y la identificación de áreas de mejora, puede gestionar eficazmente los riesgos de ciberseguridad, cumplir con los estrictos requisitos de información y mantener una infraestructura de red resistente.

No se arriesgue a quedarse atrás o a incurrir en sanciones. Dé el primer paso hacia el cumplimiento de NIS2 hoy mismo y contacte con nosotros.

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Política de Privacidad, RGPD y Protección de Datos
De conformidad con las normativas de protección de datos, le facilitamos la siguiente información del tratamiento:
Responsable: RAPINFORMES ON LINE, S.L.
Fines del tratamiento: mantener una relación comercial y enviar comunicaciones de productos o servicios.
Derechos que le asisten: acceso. rectificación, portabilidad, supresión, limitación y oposición.

Abrir chat
1
¿Necesita ayuda?
RAPINFORMES
Hola, ¿en que podemos ayudarte?