NIS2: La nueva normativa europea de ciberseguridad

Compatibilità
Salva(0)
Condividi

NIS2: La nueva normativa europea, ¿sabes cómo te afecta?

Nueva normativa NIS2 impactando en la ciberseguridad europea, obligando a las organizaciones a implementar políticas de seguridad robustas y capacitar a sus directivos y empleados en ciberseguridad.

El 16 de enero de 2023 entró en vigor la Directiva (UE) 2022/2555 conocida como NIS2 por sus siglas en Inglés (Network and Information Systems) o SRI2 por sus siglas en español (Seguridad de las Redes de la Información). Esta norma sustituye a la Directiva (UE) 2016/1148 y mejora el estado de la ciberseguridad existente en toda la UE de las siguientes diferentes maneras.

Nuevas obligaciones de ciberseguridad

Con la normativa NIS2, aparecen dos nuevas obligaciones para las organizaciones:

Notificación de incidentes de seguridad

Con la Normativa NIS2, cuando se produzca un incidente de ciberseguridad, las organizaciones dispondrán de 24 horas para notificarlo a la Agencia Nacional de Seguridad de los Sistemas de Información, aunque este plazo aún no es definitivo y podrá revisarse antes de que la directiva se incorpore a la legislación nacional. 

Formación en ciberseguridad para directivos, gerentes y empleados

La formación interna es un punto clave de esta nueva directiva y fomenta la sensibilización masiva en materia de ciberseguridad.

El principal reto de la NIS2 es obligar a aplicar medidas técnicas, pero también y sobre todo medidas operativas y organizativas. Toda la organización debe implicarse en la ciberseguridad, no solo el departamento informático, por eso la directiva exige formación en ciberseguridad a los altos directivos, que deben aprobar sistemáticamente todas las medidas de seguridad. Además, los altos directivos que representen a la organización podrían ser considerados responsables de cualquier incumplimiento de las obligaciones que impone la directiva.

¿En qué consiste la nueva normativa europea NIS2?

Las medidas contempladas para esta normativa se basan en un enfoque global de los peligros y tiene por objeto proteger las redes y los sistemas de información, así como el entorno físico de dichos sistemas. Las medidas incluirán “como mínimo” lo siguiente:

a) Políticas de análisis de riesgos y seguridad de los sistemas de información.

b) Gestión de incidentes de seguridad.

c) Control de la continuidad de las actividades, como la gestión de copias de seguridad y la recuperación en casos de desastre, así como la gestión de crisis.

d) Seguridad de la cadena de suministro, incluidos los aspectos relacionados con la seguridad relativos a las relaciones entre cada entidad y sus proveedores directos o prestadores de servicios.

e) Seguridad en la adquisición, el desarrollo y el mantenimiento de redes y sistemas de información, incluida la gestión y divulgación de vulnerabilidades.

f) Creación de políticas y procedimientos para evaluar la eficacia de las medidas de gestión de riesgos de ciberseguridad.

g) Prácticas básicas de higiene cibernética y formación en ciberseguridad.

h) Generación de políticas y procedimientos relativos al uso de la criptografía y, en su caso, del cifrado.

i) Gestión de la seguridad de los recursos humanos, políticas de control de acceso y gestión de activos.

j) Uso de soluciones de Autenticación Multifactor o “autenticación continua”, comunicaciones seguras de voz, vídeo y texto y sistemas seguros de comunicación de emergencia dentro de la entidad, cuando proceda.

¿A quién afecta la normativa de ciberseguridad?

La normativa se ha creado con la idea de contemplar casi todos los sectores de la industria y el comercio, ya que los Sistemas de información y comunicaciones forman una parte importante en caso todas las actividades comerciales e industriales actualmente. 

Para ello se clasifican dos categorías de actividades:

Sectores clasificados como de alta criticidad incluyen:

  • Energía
  • Transporte
  • Banca
  • Infraestructuras de los mercados financieros
  • Sanidad
  • Agua potable
  • Aguas residuales
  • Infraestructuras digitales
  • Gestión de servicios de TIC
  • Administración pública
  • Industria Aeroespacial

Sectores considerados como otros sectores críticos son:

  • Servicios postales y de mensajería
  • Gestión de residuos
  • Fabricación, producción y distribución de productos químicos
  • Producción, transformación y distribución de alimentos
  • Fabricación
  • Proveedores de servicios digitales
  • Investigación

Plazos y entrada en vigor.

Esta normativa establece una serie de plazos para su implantación:

  • A más tardar el 17 de octubre de 2024, los Estados miembros deben adoptar y publicar las medidas necesarias para cumplir la Directiva NIS2.
  • Aplicarán dichas medidas a partir del 18 de octubre de 2024.
  • Queda derogada la Directiva (UE) 2016/1148 (Directiva SRI) con efectos a partir del 18 de octubre de 2024.
  • A más tardar el 17 de julio de 2024 y, posteriormente, cada 18 meses, EU-CyCLONe presentará al Parlamento Europeo y al Consejo un informe en el que se evalúe su trabajo.
  • A más tardar el 17 de octubre de 2024, la Comisión adoptará actos de ejecución por los que se establezcan los requisitos técnicos y metodológicos de las medidas en relación con los proveedores de servicios de DNS, los registros de nombres de TLD, los proveedores de servicios de computación en nube, los proveedores de servicios de centros de datos, los proveedores de redes de distribución de contenidos, los proveedores de servicios gestionados, los proveedores de servicios de seguridad gestionados, los proveedores de mercados en línea, de motores de búsqueda en línea y de plataformas de servicios de redes sociales.  y proveedores de servicios de confianza.
  • El 17 de enero de 2025, el Grupo de Cooperación establecerá, con la asistencia de la Comisión y de ENISA y, en su caso, de la red de CSIRT, la metodología y los aspectos organizativos de las revisiones inter pares, con vistas a aprender de las experiencias compartidas, reforzar la confianza mutua, alcanzar un elevado nivel común de ciberseguridad, así como mejorar las capacidades y políticas de ciberseguridad de los Estados miembros necesarias para aplicar la presente Directiva. La participación en las revisiones por pares es voluntaria. Las revisiones inter pares serán llevadas a cabo por expertos en ciberseguridad. Los expertos en ciberseguridad serán designados por al menos dos Estados miembros, distintos del Estado miembro objeto de revisión.
  • A más tardar el 17 de abril de 2025, los Estados miembros establecerán una lista de entidades esenciales e importantes, así como de entidades que presten servicios de registro de nombres de dominio. Los Estados miembros revisarán y, en su caso, actualizarán dicha lista periódicamente y, posteriormente, al menos cada dos años.
  • A más tardar el 17 de abril de 2025 y, posteriormente, cada dos años, las autoridades competentes notificarán a la Comisión y al Grupo de Cooperación el número de entidades esenciales e importantes para cada sector.
  • A más tardar el 17 de octubre de 2027 y, posteriormente, cada 36 meses, la Comisión revisará el funcionamiento de la presente Directiva e informará al Parlamento Europeo y al Consejo.

Nota importante para las entidades no pertenecientes a la UE

En virtud del artículo 26 (Jurisdicción y territorialidad), Hay una serie de entidades mencionadas en el párrafo 26.1. b:

  • Proveedores de servicios de DNS.
  • Registros de nombres de dominio de nivel superior.
  • Entidades que prestan servicios de registro de nombres de dominio.
  • Proveedores de servicios de computación en nube.
  • Proveedores de servicios de centros de datos.
  • Proveedores de redes de distribución de contenidos.
  • Proveedores de servicios gestionados.
  • Proveedores de servicios de seguridad gestionados.
  • Proveedores de mercados en línea.
  • Motores de búsqueda en línea.
  • Plataformas de servicios de redes sociales.

Una entidad cuya actividad corresponda a una o varias de las anteriores que no esté establecida en la UE, pero ofrece servicios dentro de la UE, designará a un representante en la UE. El representante deberá estar establecido en uno de los Estados miembros en los que se ofrezcan los servicios. Se considerará que dicha entidad está sometida a la jurisdicción del Estado miembro en el que esté establecido el representante. En ausencia de representante, cualquier Estado miembro en el que la entidad preste servicios podrá emprender acciones legales contra la entidad por la infracción de la presente Directiva.

Esta nueva normativa conlleva nuevas obligaciones y más responsabilidad sobre la ciberseguridad para las compañías europeas. ¿Estás preparado para asumir las nuevas exigencias? Contacta con nuestro equipo y te ayudaremos.

Autor: Sergio Rojas

Fuentes:

https://www.nis-2-directive.com/

https://www.enisa.europa.eu/topics/cybersecurity-policy/nis-directive-new

Recapiti
vssistemas vssistemas