NIS2: Lo que necesitas saber y como te afecta
La Directiva NIS2 que entró en vigor en España el pasado 17 de octubre, tiene como objetivo armonizar el nivel de ciberseguridad en toda la Unión Europea.
La seguridad cibernética se ha convertido en una prioridad imperativa para todas las organizaciones. La entrada en vigor de la Directiva NIS2 en enero de 2023 ha marcado un nuevo horizonte en la protección de infraestructuras críticas dentro de la Unión Europea. Este nuevo reglamento no solo eleva la vara de la seguridad, sino que también expande su alcance a una amplia gama de sectores.
La Directiva NIS2 (Directiva (UE) 2022/2555) es una regulación del Parlamento Europeo y del Consejo que busca asegurar un elevado nivel de ciberseguridad en toda la Unión Europea. Se sostiene sobre tres pilares fundamentales: controles de ciberseguridad, gestión de riesgos y gobernanza y cooperación. Desde la implementación de políticas y procedimientos hasta la monitorización continua y gestión de incidentes, NIS2 proporciona un marco integral para salvaguardar las operaciones digitales.
Nuestras auditorías y soluciones para el cumpliento de la NIS2
Sectores críticos esenciales
Sectores críticos importantes
La NIS2 al detalle
La directiva NIS2 se aplica a un mayor número de entidades e incluye nuevos sectores, subsectores y tipos de actividades.
Las entidades en el ámbito de la NIS2 pueden identificarse o ser designadas como esenciales o importantes dependiendo de factores como su tamaño, sector o la criticidad de sus actividades. Con carácter general, la NIS2 aplica a entidades públicas o privadas, medianas o grandes que presten sus servicios o lleven a cabo sus actividades en la Unión Europea. Estas entidades, salvo en algunos casos, han de autoidentificarse como esenciales o importantes. También están en su ámbito entidades de menor tamaño si los Estados las identifican como esenciales o importantes.
Obligaciones de notificación
Entidades esenciales e importantes deben notificar sin demora incidentes con impacto significativo a su CSIRT de referencia.
La NIS2 impone obligaciones de notificación para los incidentes que tengan un impacto significativo en la prestación de sus servicios. Ante un incidente de este tipo, se deberá notificar a la autoridad competente o al CSIRT (Computer Security Incident Response Team) de referencia siguiendo las siguientes fases:
Cuando proceda, las entidades notificarán los incidentes significativos a los destinatarios de sus servicios. Cuando sea de interés público, el CSIRT o la autoridad competente pertinente podrán informar al público sobre el incidente significativo o podrá exigir a la entidad que lo haga
Las entidades esenciales e importantes deben adoptar medidas técnicas, operativas y organizativas adecuadas y proporcionales para gestionar los riesgos de ciberseguridad a los que se enfrentan y prevenir o minimizar el impacto de los incidentes en sus servicios y en servicios de terceros.
Dichas medidas se basarán en una planificación que tenga en cuenta todos los riesgos y cuyo objetivo sea proteger la red y los sistemas de información, así como el entorno físico de los mismos, incluyendo al menos las siguientes medidas:
Todas las medidas deben ser:
Proporcionadas al riesgo, tamaño, coste e impacto y gravedad de los incidentes.
Tener en cuenta el estado del arte de la técnica, y cuando proceda, las normas europeas e internacionales.
Para asegurar que se cumplen los requisitos clave descritos, los estados pueden:
Llevar a cabo evaluaciones de riesgos de servicios, sistemas o cadenas de suministro críticos.
Imponer obligaciones de certificación a determinadas entidades, de productos, servicios o procesos, según un esquema europeo.
Adoptar actos de ejecución para el cumplimiento de las medidas que establezcan requisitos técnicos, metodológicos o sectoriales basados en normas europeas e internacionales.
Las actividades de auditória y supervisión serán realizadas por profesionales cualificados conforme al siguiente esquema:
La alta dirección tiene la responsabilidad última de la gestión de los riesgos de ciberseguridad en entidades esenciales e importantes. El incumplimiento por parte de la dirección de los requisitos que establece la NIS2 podría tener graves consecuencias, incluyendo responsabilidad, prohibiciones temporales y multas administrativas, según lo previsto en la legislación nacional de la aplicación.
Los equipos directivos de las entidades esenciales e importantes son responsables de:
