Directiva NIS2 sobre medidas de ciberseguridad en la Unión Europea

Home > Blog ALTER > Digital > Directiva NIS2 sobre medidas de ciberseguridad en la Unión Europea

La Directiva NIS2 es la legislación de la UE en materia de ciberseguridad. Establece medidas legales para impulsar el nivel general de ciberseguridad en la UE.

Las normas de ciberseguridad de la UE introducidas en 2016 fueron actualizadas por la Directiva NIS2 que entró en vigor en 2023. Modernizó el marco jurídico existente para mantenerse al día con el aumento de la digitalización y la evolución del panorama de amenazas a la ciberseguridad. Al ampliar el ámbito de aplicación de las normas de ciberseguridad a nuevos sectores y entidades, mejora aún más la resiliencia y las capacidades de respuesta a incidentes de las entidades públicas y privadas, las autoridades competentes y la UE en su conjunto.

La Directiva NIS2 ofrece medidas destinadas a garantizar un elevado nivel común de ciberseguridad y proporciona medidas jurídicas para impulsar el nivel general de ciberseguridad en la UE, garantizando:

  • La preparación de los Estados miembros, exigiéndoles que estén debidamente equipados. Por ejemplo, con un Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT) y una autoridad nacional competente en redes y sistemas de información (NIS).
  • La cooperación entre todos los Estados miembros, mediante la creación de un Grupo de Cooperación para apoyar y facilitar la cooperación estratégica y el intercambio de información entre los Estados miembros.
  • Una cultura de seguridad en todos los sectores que son vitales para nuestra economía y nuestra sociedad y que dependen en gran medida de las TIC, como la energía, el transporte, el agua, la banca, las infraestructuras de los mercados financieros, la asistencia sanitaria y las infraestructuras digitales.

Las empresas identificadas por los Estados miembros como operadores de servicios esenciales en los sectores mencionados deberán adoptar las medidas de seguridad adecuadas y notificar a las autoridades nacionales competentes los incidentes graves. Los principales proveedores de servicios digitales, como los motores de búsqueda, los servicios de computación en nube y los mercados en línea, tendrán que cumplir los requisitos de seguridad y notificación establecidos en la Directiva.

Fuente: Comisión Europea

Principales disposiciones de la NIS2

A continuación, se identifican las principales disposiciones de la NIS2:

  • Ordena y proporciona directrices para las Estrategias Nacionales de Ciberseguridad;
  • Establece los requisitos y las capacidades técnicas para los CSIRT nacionales, la cooperación y el intercambio de información;
  • Establece obligaciones de gestión de riesgos y presentación de informes en materia de ciberseguridad para dos categorías de entidades: entidades esenciales y entidades importantes;
  • Referencias a los esquemas de certificación de la UE y al cumplimiento de las normas.
Pentesting a nivel de aplicación web

¿Qué sectores y tipos de entidades cubrirá NIS2?

La Directiva NIS2 abarca entidades de los siguientes sectores.

Sectores de alta criticidad:

  • Energía (electricidad, calefacción y refrigeración urbanas, petróleo, gas e hidrógeno).
  • Transporte (aéreo, ferroviario, acuático y por carretera).
  • Banca.
  • Las infraestructuras de los mercados financieros.
  • Salud, incluida la fabricación de productos farmacéuticos y vacunas.
  • Agua potable.
  • Aguas residuales.
  • Infraestructura digital (puntos de intercambio de Internet; Proveedores de servicios DNS; Registros de nombres de dominio de primer nivel; proveedores de servicios de computación en nube; proveedores de servicios de centros de datos; redes de entrega de contenidos; proveedores de servicios de confianza; proveedores de redes públicas de comunicaciones electrónicas y servicios de comunicaciones electrónicas disponibles para el público.
  • Gestión de servicios de TIC (proveedores de servicios gestionados y proveedores de servicios de seguridad gestionados).
  • Administración pública.
  • Espacio.

Otros sectores críticos:

  • Servicios postales y de mensajería.
  • Gestión de residuos.
  • Productos químicos.
  • Alimentos.
  • Fabricación de dispositivos médicos, computadoras y electrónica, maquinaria y equipo, vehículos de motor, remolques y semirremolques y otros equipos de transporte.
  • Proveedores digitales (mercados en línea, motores de búsqueda en línea y plataformas de servicios de redes sociales).
  • Organizaciones de investigación.

¿Cómo se supervisarán y aplicarán las nuevas normas?

Las medidas de supervisión y ejecución en relación con las entidades esenciales se enumeran en el artículo 32 e incluyen:

  • Inspecciones in situ y supervisión externa, incluidos controles aleatorios realizados por profesionales capacitados;
  • Auditorías de seguridad periódicas y específicas realizadas por un organismo independiente o una autoridad competente;
  • Auditorías ad hoc, incluso cuando esté justificado por un incidente significativo o una infracción de la presente Directiva por parte de la entidad esencial;
  • Exploraciones de seguridad basadas en criterios de evaluación de riesgos objetivos, no discriminatorios, justos y transparentes, cuando sea necesario con la cooperación de la entidad de que se trate;
  • Las solicitudes de información necesarias para evaluar las medidas de gestión de riesgos de ciberseguridad adoptadas por la entidad de que se trate, incluidas las políticas de ciberseguridad documentadas, así como el cumplimiento de la obligación de presentar información a las autoridades competentes;
  • Solicitudes de acceso a datos, documentos e información necesarios para llevar a cabo sus tareas de supervisión;
  • Solicitudes de pruebas de la aplicación de las políticas de ciberseguridad, como los resultados de las auditorías de seguridad realizadas por un auditor cualificado y las respectivas pruebas subyacentes.

¿Cómo fortalecerá la Directiva NIS2 los requisitos de seguridad y las obligaciones de notificación de incidentes de las entidades?

La evaluación de las normas vigentes sobre los requisitos de información en materia de seguridad e incidentes ha puesto de manifiesto que, en algunos casos, los Estados miembros han aplicado estos requisitos de manera significativamente diferente. Esto ha creado una carga adicional para las empresas que operan en más de un Estado miembro.

Además, cuando se trata de requisitos de ciberseguridad, queremos asegurarnos de que todas las empresas aborden el conjunto básico de elementos necesarios en sus políticas de gestión de riesgos de ciberseguridad.

Por esta razón, NIS2 incluye una serie de elementos clave que todas las empresas deben abordar o implementar como parte de las medidas que toman, incluida la gestión de incidentes, la seguridad de la cadena de suministro, la gestión y divulgación de vulnerabilidades, el uso de la criptografía y, en su caso, el cifrado.

Cuando se trata de la notificación de incidentes, debemos encontrar el equilibrio adecuado entre la necesidad de una notificación rápida para evitar la posible propagación de incidentes, y la necesidad de informar en profundidad para extraer valiosas lecciones aprendidas de incidentes individuales. La nueva Directiva prevé un enfoque de múltiples etapas para la notificación de incidentes.

En resumen, la Directiva NIS2 desempeña un papel fundamental en fortalecer la ciberseguridad en la Unión Europea, protegiendo infraestructuras críticas, promoviendo buenas prácticas y facilitando la cooperación entre los Estados Miembros para hacer frente a las amenazas cibernéticas.

ALTER posibilita homologación y certificación de sistemas y productos IT generando evidencias de ciberseguridad, reduciendo riesgos y permitiendo diferenciar a sus clientes con sus sistemas y productos frente a la competencia y ofreciendo mejores prestaciones a los consumidores.

|

< Blog ALTER

Lo último en Normativas