La ciberseguridad es un tema crítico en la era digital, y la Unión Europea (UE) ha dado un paso significativo en la dirección correcta con la introducción de la Directiva NIS2 (Network and Information Systems 2).
Esta legislación, que entrará en vigor para mejorar la ciberseguridad en la UE, se considera la más completa hasta la fecha.
En este artículo, exploraremos qué es exactamente la directiva NIS2 y qué es lo que la diferencia de la NIS1, sus implicaciones en sectores esenciales y cómo Microsoft está abordando los desafíos planteados por NIS2.
¿Qué es la Directiva Europea NIS2?
La Directiva NIS2 o Network and Information Systems 2 es la legislación a escala de la Unión Europea en materia de ciberseguridad.
Esta normativa presenta un marco integral de seguridad de la información diseñado para salvaguardar los sistemas y las redes de información en la Unión Europea. Su objetivo principal es prevenir posibles ataques y asegurar la continuidad de los servicios.
Dentro de sus disposiciones, la directiva impone a los Estados miembros responsabilidades específicas en ciberseguridad, establece medidas para la gestión de riesgos en este ámbito, y exige a las entidades cubiertas por su alcance cumplir con obligaciones de notificación. Además, introduce requerimientos relacionados con el intercambio de información sobre ciberseguridad y establece obligaciones de supervisión y ejecución para los Estados miembros.
La implementación de esta directiva implica una actualización de la normativa española, afectando al Real Decreto Ley 12/2018 y al Real Decreto de desarrollo 43/2021.
NIS2 vs. NIS1: Diferencias Clave
La NIS2 introduce requisitos más estrictos y un ámbito de aplicación más amplio en comparación con la NIS1. Su enfoque se centra en la seguridad y la continuidad empresarial, con un énfasis en la cadena de suministro.
Además, NIS2 mejora y racionaliza las obligaciones de información, lo que significa que las organizaciones deben comunicar incidentes de ciberseguridad de manera más efectiva.
Las repercusiones son mayores, incluyendo sanciones legales para la dirección, lo que subraya la importancia de la ciberseguridad. NIS2 se aplica en todos los Estados miembros europeos, lo que garantiza una implementación uniforme en toda la UE.
Sectores Afectados y Nuevos Requisitos
La NIS2 abarca sectores esenciales como energía, transporte, banca y más. Además, establece requisitos específicos para servicios digitales, incluyendo proveedores de servicios en la nube, servicios de redes sociales y motores de búsqueda en línea.
Estos sectores críticos desempeñan un papel vital en la infraestructura de la UE, y garantizar su seguridad cibernética es esencial para el funcionamiento ininterrumpido y la protección de datos.
Requisitos de ciberseguridad impuestos por la NIS2
Aquellas empresas consideradas esenciales o de importancia significativa tienen la responsabilidad de gestionar los riesgos asociados a sus sistemas de redes e información, así como de prevenir o minimizar el impacto de posibles incidentes.
Las medidas que deben adoptarse incluyen:
- Coordinación de respuestas a incidentes
- Garantía de continuidad en las operaciones comerciales
- Salvaguardias en la cadena de suministro
- Medidas para asegurar la fiabilidad y seguridad en la creación, evolución y mantenimiento de sistemas de redes e información, con especial énfasis en la gestión y divulgación de posibles vulnerabilidades
- Establecimiento y aplicación de políticas y procedimientos para evaluar la eficacia de las estrategias de gestión de riesgos en ciberseguridad
- Implementación de buenas prácticas de higiene cibernética y programas formativos en seguridad informática
- Utilización de técnicas criptográficas
- Aseguramiento de la integridad en el manejo de recursos humanos, políticas de acceso y administración de activos
- Aplicación de métodos de autenticación multifactor o sistemas de autenticación continua, garantizando la seguridad en las comunicaciones de voz, vídeo y texto, así como en sistemas de comunicación de emergencia cuando sea pertinente dentro de la entidad.
Requisitos de ciber-higiene:
La ciber-higiene se destaca como un componente fundamental según la directiva NIS2, siendo esencial para resguardar la infraestructura de los sistemas de redes e información, así como para proteger el hardware, software, la seguridad de aplicaciones y los datos, tanto empresariales como personales. La aplicación de las políticas de ciber-higiene en los países de la Unión Europea será supervisada y analizada por la ENISA.
Los requisitos incluyen:
- Cambios de contraseña
- Limitación de cuentas de acceso a nivel de administrador
- Gestión de identidades y accesos
- Actualizaciones de software y hardware
- Gestión de nuevas instalaciones
- Copia de seguridad de datos
- Principios de confianza cero
- Un marco proactivo de preparación y seguridad general en caso de incidentes o ciberamenazas
- Las empresas también deben contar con una política activa de formación para concienciar a los empleados en materia de seguridad
Otros requisitos de la NIS2
Además de adherirse a las prácticas esenciales de ciber-higiene previamente mencionadas, los proveedores de redes públicas de comunicaciones electrónicas deben incorporar medidas adicionales, tales como la implementación de cifrado de extremo a extremo y la aplicación de conceptos de seguridad centrados en los datos, abarcando aspectos como la cartografía, segmentación, etiquetado, políticas de acceso y gestión de accesos, incluyendo decisiones automatizadas de acceso.
En este contexto, la Comisión Europea insta a las empresas a adoptar sistemas de inteligencia artificial y aprendizaje automático para potenciar aún más sus capacidades de seguridad, considerándolos herramientas fundamentales para la detección y prevención efectiva de ciberataques.
Entrada en Vigor de la NIS2 en España
La Directiva fue puesta en vigencia el 27 de diciembre de 2022, una vez publicada en el Diario Oficial de la Unión Europea. Sin embargo, los estados miembros cuentan con un plazo hasta el 17 de octubre de 2024 para llevar a cabo la transposición, así como para adoptar y publicar las medidas requeridas con el fin de cumplir con lo estipulado en la directiva.
Responsabilidades de la Dirección según NIS2
Uno de los aspectos más destacados de la NIS2 es la responsabilidad de la dirección en la gestión de riesgos de seguridad, protección contra ciberataques, detección de incidentes de ciberseguridad y minimización de sus impactos.
El incumplimiento de estas obligaciones puede resultar en multas significativas y la responsabilidad legal de la dirección. Esto enfatiza la importancia de un enfoque proactivo en la ciberseguridad por parte de las organizaciones.
En definitiva, la NIS2 marca un paso significativo en la evolución de la ciberseguridad europea, abordando lagunas identificadas en la NIS1. Su enfoque ampliado y riguroso refleja la creciente importancia de proteger la infraestructura digital en la era actual.
Empresas como Microsoft deben adaptarse a estos cambios para garantizar el cumplimiento y la seguridad cibernética efectiva, ofreciendo soluciones para el cumplimiento de esta directiva.
¿Quieres saber cómo prepararte para la entrada en vigor de esta nueva directiva?