Ciberseguridad y NIS 2. Propósitos de Año Nuevo.

Una nueva directiva de ciberseguridad con acciones ante infracciones e impacto para los cargos directivos

En enero de 2023 se promulga una nueva directiva NIS (siglas de seguridad de sistemas de redes y de información: Network and Information Systems) a través del Reglamento ((UE) 2022/2555), la llamada NIS2, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión y que deroga a la anterior directiva NIS ((UE) 2016/1148). La fecha máxima para que sea traspuesta al ordenamiento jurídico español es el 17 de octubre de 2024.​

Esta nueva directiva viene a reforzar los anteriores requisitos de la NIS1, para poder dar una mejor respuesta al creciente panorama de amenazas en los sistemas de redes y de información, de los que cada vez la sociedad es más dependiente. Además de que va a incluir acciones contra las infracciones, para endurecer el carácter disuasorio de estas acciones, las autoridades competentes estarán facultadas para llevar a cabo acciones de suspensión de certificaciones o incluso servicios y prohibir temporalmente que una persona física ejerza funciones de dirección a nivel de director general o representante legal. Es decir, el mensaje es que hay que anticiparse y empezar a trabajar ya, porque las consecuencias van un paso más allá que la anterior directiva.

El ámbito de aplicación puede afectar a los entornos industriales OT y a dispositivos IoT​

Uno de los aspectos en los que se diferencia de la NIS1 es su ámbito de aplicación. Si bien la NIS1 estaba básicamente reservada para entidades formalmente designadas como proveedores de servicios esenciales dentro de diferentes sectores críticos, la NIS2  abre el abanico. En este sentido la NIS2 va a aplicar a medianas y grandes empresas de sectores críticos y a otras entidades que, con independencia de su tamaño, cumplan con ciertas características como, por ejemplo:​​

  • Que presten servicios específicos (tales como los prestadores de servicios de confianza o de DNS).

  • Que sean el único proveedor que preste un servicio esencial en un estado miembro.

  • Que sean una entidad crítica formalmente designada​​.

​Dentro de los sectores  de aplicación, podemos encontrarnos con algunos que incluyen tecnologías de operación (lo que denominamos comúnmente con las siglas OT, del inglés “Operation Technologies”, frente a los sistemas de información o corporativos, denominados IT, del inglés “Information Technologies”). Además, estarían los dispositivos IoT, no menos importantes, y que también estarían en el ámbito al que se dirige los requisitos de protección de esta directiva.

Sectores afectados:

Sectores de alta criticidad:
  • Energía
  • Transporte
  • Banca
  • Infraestructura de los mercados financieros
  • Sector sanitario
  • Agua potable
  • Aguas residuales
  • Infraestructura digital
  • Gestión de servicios de TIC ( de empresa a empresa)
  • Entidades de la Administración pública, con exclusión del poder judicial, los parlamentos y los bancos centrasles
  • Espacio
Otros sectores críticos:
  • Servicios postales y mensajería
  • Gestión de residuo
  • Fabricación, producción y distribución de sustancias y mezclas químicas
  • Producción, transformación y distribución de alimentos
  • Fabricación
  • Proveedores de servicios digitales
  • Investigación

Los requisitos de carácter técnico-organizativo son los recogidos en el artículo 21 de la directiva, a saber: ​

  • Las políticas de seguridad de los sistemas de información y análisis de riesgos.
  • La gestión de incidentes.
  • La continuidad de las actividades, como la gestión de copias de seguridad y la recuperación en caso de catástrofe, y la gestión de crisis.
  • La seguridad de la cadena de suministro, incluidos los aspectos de seguridad relativos a las relaciones entre cada entidad y sus proveedores o prestadores de servicios directos.
  • La seguridad en la adquisición, el desarrollo y el mantenimiento de sistemas de redes y de información, incluida la gestión y divulgación de las vulnerabilidades.
  • Las políticas y los procedimientos para evaluar la eficacia de las medidas para la gestión de riesgos de ciberseguridad.
  • Las prácticas básicas de ciberhigiene y formación en ciberseguridad.
  • Las políticas y procedimientos relativos a la utilización de criptografía y, en su caso, de cifrado.
  • La seguridad de los recursos humanos, las políticas de control de acceso y la gestión de activos.
  • El uso de soluciones de autenticación multifactorial o de autenticación continua, comunicaciones de voz, vídeo y texto seguras y sistemas seguros de comunicaciones de emergencia en la entidad, cuando proceda.

Desde Babel apostamos por el lema de que cumplir con la legislación de ciberseguridad protege el negocio y, sobre todo, en el caso de la NIS2, donde podrá haber repercusiones directas para el personal directivo e infracciones. Por ello, con nuestro equipo de expertos podemos ayudar a nuestros clientes con la adecuación a esta nueva normativa, desde la realización del análisis de situación hasta su implementación y posterior mantenimiento.​

Descargar Guía completa sobre la Nueva Directiva NIS2
Otros artículos de la serie:

Tags