NIS2
¿Qué es?
La Directiva NIS2 es la legislación sobre ciberseguridad aplicable en toda la UE.
NIS2 es una actualización de la Directiva sobre Seguridad de las Redes y los Sistemas Informáticos (NIS). Su objetivo es crear un nivel común de ciberseguridad en todos los estados miembros de la Unión Europea.
¿En qué te ayudamos?
TE PREPARAMOS PARA EL CUMPLIMIENTO DE LA NIS2
Con una evaluación exhaustiva de tus sistemas informáticos, controles de seguridad y prácticas de ciberseguridad actuales. Identificamos cualquier laguna o punto débil con respecto a los requisitos de la NIS2.
INFORMAMOS E IMPLICAMOS A LOS RESPONSABLES DE LAS EMPRESAS
Nos ocupamos que el equipo directivo de tu empresa o organización comprenda plenamente las implicaciones y los requisitos de la Directiva NIS2.
DESARROLLAR UNA HOJA DE RUTA Y UN PLAN DE APLICACIÓN
Basándonos en la evaluación inicial, creamos una hoja de ruta y un plan de implantación detallado para abordar los requisitos del NIS2. Incluso CONFIGURAMOS TU OFICINA VIRTUAL PARA CUMPLIR CON ESTA NORMATIVA.
¿Qué empresas deben cumplir con la NIS2?
Empresas/entidades esenciales.
Energía (electricidad, gas, petróleo, hidrógeno, distribución)
Transporte (aéreo, ferroviario, marítimo, por carretera)
Banca y Mercados Financieros
Sanidad (hospitales, centros médicos, laboratorios)
Agua potable y aguas residuales
Infraestructuras digitales (redes de comunicaciones electrónicas, centros de datos)
Administraciones públicas centrales y regionalesFabricación de productos críticos (dispositivos médicos, productos farmacéuticos, semiconductores, aeronáutica, productos de defensa, etc.)
Sectores de entidades Importantes (Altamente regulados, pero con menos supervisión directa)
Servicios postales y de mensajería
Gestión de residuos y aguas residuales
Fabricación de equipos electrónicos y maquinaria.
Fabricación de automóviles y transporte.
Fabricación de sustancias químicas
Proveedores de servicios de computación en la nube, IaaS, PaaS, SaaS
Proveedores de gestión de servicios TIC (MSP, MSSP)
Proveedores de redes de contenido (CDN)
Plataformas de redes sociales
Administraciones locales (Ayuntamientos)
Requisitos específicos de la NIS2
Políticas de seguridad y análisis de riesgos.
Las empresas deben definir políticas internas de seguridad de los sistemas de información y realizar evaluaciones periódicas de riesgos. Esto establece las bases para identificar amenazas y proteger activos críticos de la organización.
La alta dirección es responsable de aprobar estas políticas y medidas (deber de gobernanza), pudiendo incurrir en responsabilidad personal en caso de incumplimiento grave.
Gestión de incidentes y notificación.
Deben establecer procedimientos para detectar e investigar incidentes de seguridad , así como planes de respuesta y recuperación. Además, NIS2 impone obligaciones estrictas de notificación de incidentes significativos a las autoridades competentes (p. ej. el CSIRT nacional) en plazos muy cortos: una alerta inicial dentro de las 24 horas siguientes, un informe detallado a las 72 horas y un informe final al cabo de un mes.
Esto busca asegurar respuestas rápidas y coordinadas a las ciberamenazas en toda la UE.
Continuidad del negocio y recuperación.
Las entidades deben contar con planes de continuidad de las actividades, incluyendo copias de seguridad periódicas, planes de recuperación ante desastres y gestión de crisis.
Esto garantiza que, ante un incidente grave, la empresa pueda restaurar sus operaciones y minimizar el impacto en clientes y usuarios.
Seguridad en la cadena de suministro.
NIS2 pone un fuerte acento en la seguridad de terceros. Obliga a evaluar y mitigar riesgos derivados de las relaciones con proveedores externos y socios de la cadena de suministro. Muchas brechas se originan en vulnerabilidades de terceros, por lo que las organizaciones deben evaluar la robustez de los productos y servicios que utilizan, asegurándose de que no sean un eslabón.
De hecho, la norma exige que las entidades incluyan las medidas de seguridad pertinentes en los contratos con sus proveedores y prestadores de servicios esenciales para alinear a estos terceros con los estándares de NIS2.
Seguridad en el desarrollo y mantenimiento de sistemas.
Esto implica aplicar buenas prácticas en la adquisición, desarrollo y mantenimiento de sistemas y software, integrando la gestión de vulnerabilidades (identificación, divulgación y parcheo de fallos de seguridad).
Mantener los sistemas actualizados y corregir debilidades conocidas es fundamental para prevenir incidentes.
Ciberhigiene y formación.
NIS2 requiere fomentar una higiene cibernética básica en la organización. Esto abarca prácticas como mantener el software actualizado, uso de contraseñas seguras y cambiarlas periódicamente, limitar privilegios de usuario, hacer copia de seguridad de datos, etc.
Asimismo, se debe impartir formación en ciberseguridad al personal y concienciar a los empleados sobre las amenazas más comunes (phishing, malware, ingeniería social), dado que el factor humano es crítico para prevenir incidentes.
Criptografía y control de accesos.
Las entidades deben establecer políticas sobre el uso de criptografía , asegurando el cifrado adecuado de información sensible tanto en tránsito como en reposo. También deben implementar sistemas sólidos de control de acceso , basados en el principio de mínimo privilegio, y gestionar adecuadamente las cuentas y credenciales. De hecho, la autenticación multifactor (MFA) o mecanismos equivalentes de autenticación continua son mencionados explícitamente como medida obligatoria cuando corresponde. Igualmente, se contempla la necesidad de comunicaciones seguras (voz, vídeo, mensajería) y canales de cifrado de emergencia para uso en caso de crisis.
En síntesis, NIS2 exige a las organizaciones adoptar un conjunto amplio de controles de seguridad , proporcionales a su riesgo y tamaño, y acorde al estado del arte tecnológico. Éstas obligaciones buscan institucionalizar buenas prácticas de ciberseguridad en las empresas europeas, elevando su resiliencia frente a incidentes. El incumplimiento de NIS2 puede conllevar multas significativas, la directiva pide sanciones de hasta 10 millones de euros o 2% de la facturación global anual (lo que sea mayor) para infracciones graves en entidades esenciales. Para entidades importantes, se prevé hasta 10 millones de euros o el 2% de facturación, según lo que establezca cada estado miembro. Esto resalta la importancia de tomarse en serio el cumplimiento.