La Directiva NIS2 es la pieza fundamental de la legislación europea en el ámbito de la ciberseguridad. Sus medidas pretenden garantizar la seguridad de las redes y sistemas de información en el conjunto del territorio de la UE. Algo que resulta esencial en tiempos de digitalización, y con los ciberdelitos en continuo auge, tanto para grandes empresas como para pymes.
La Directiva NIS2 se publicó a finales de 2022 y establece la obligación para todos los Estados miembros de adoptar una Estrategia Nacional de Seguridad. Serán ellos quienes decidan cómo llevar a la práctica las normas y objetivos de la NIS2.
Los diferentes países comparten un Grupo de Cooperación internacional que facilita la colaboración y el intercambio de información y una red de equipos europea pensada para dar respuesta a incidentes de seguridad informáticos (red CSIRT).
Con todo ello, se está trabajando y avanzando en la legislación sobre ciberseguridad en cada territorio. Según lo acordado, las principales medidas ya deberían estar aplicándose para octubre de 2024.
A quién va dirigida la Directiva NIS2
La Directiva NIS 2 se dirige, principalmente, a las empresas consideradas como esenciales o importantes. Son definidas por cada país, aunque la normativa europea ya apunta y define de manera general qué se considera servicios esenciales, proveedores de servicios digitales, además de sectores, subsectores e infraestructuras estratégicas y críticas.
Por ejemplo, un servicio esencial es aquel que resulta necesario para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos o el eficaz funcionamiento de las Administraciones Públicas. Y para la provisión de esos servicios esenciales se requieren operadores que hagan uso de infraestructuras y/o redes que se entienden como críticas.
Por otro lado, varios sectores figuran en la lista que recoge el ámbito de aplicación de la NIS2: energía, transporte, banca, mercados financieros, sanidad, suministro de agua e infraestructuras digitales.
Directiva NIS2: cómo afecta a las pymes
Aunque no seas catalogadas como empresas esenciales, las pymes también deberían adoptar varias medidas en materia de ciberseguridad y, en particular, determinadas prácticas de ciberhigiene:
-
Seguir los principios de “confianza cero”.
-
Realizar actualizaciones de software.
-
Configurar de manera segura los dispositivos.
-
Segmentar la red.
-
Implantar la gestión de identidades y acceso.
-
Concienciar a los usuarios y organizar formaciones para su personal.
-
Sensibilizar sobre las ciberamenazas, phishing o técnicas de ingeniería social.
SCUDO y la NIS2
¿Sabías que todas estas medidas a las que se refiere la Directiva NIS2 están cubiertas con SCUDO, la ciberseguridad integral de Euskaltel empresas para las pymes?
Scudo permite a las pymes contar con una solución de seguridad digital integral muy completa y con las prestaciones más avanzadas.
Se trata de una herramienta pensada y orientada especialmente a pymes y negocios, basada en herramientas tecnológicas punteras, buenas prácticas y mediante la que siempre cuentas con el respaldo continuo de un equipo de expertos.
Principales medidas de la Directiva NIS2
Una vez definido a quién y cómo aplica, es hora de llevar a la práctica las medidas que pone sobre la mesa la Directiva NIS2.
Estas acciones tendrán en cuenta todos aquellos peligros que amenazen los sistemas de redes e información y su entorno físico. De manera general, se establecen unos elementos mínimos a incluir, relativos a los siguientes aspectos:
-
Políticas de seguridad de sistemas de información y análisis de riesgos.
-
Seguridad en la adquisición, desarrollo y mantenimiento de redes e información.
-
Gestión de incidentes.
-
Continuidad de las actividades (incluye, por ejemplo, la gestión de copias de seguridad).
-
Seguridad de la cadena de suministro, teniendo en cuenta también a proveedores o prestadores de servicios directos.
-
Prácticas básicas de ciberhigiene, como los principios de “confianza cero”, actualizaciones de software, configuración de dispositivos, segmentación de la red, gestión de la identidad o acceso a la concienciación de usuarios, con especial atención a los sistemas de aprendizaje automático y a las soluciones basadas en Inteligencia Artificial.
-
Formación en ciberseguridad.
-
Políticas y procedimientos relativos a la utilización de criptografía y cifrado.
-
Seguridad de recursos humanos y activos.
-
Soluciones de autenticación multifactorial o continua, comunicaciones de voz, vídeo y texto seguras.
Además, la normativa introduce conceptos como el Indicador de Peligrosidad, que diferencia entre crítico, muy alto, alto, medio y bajo y determina la potencial amenaza que supondría la materialización de un incidente en los sistemas de información o comunicación del ente afectado, y el Indicador de Impacto de un ciberincidente, evaluando sus consecuencias en actividades, activos o individuos.
NIS1 vs NIS2: novedades de la directiva NIS2
La Directiva NIS2 sustituye a la primera Directiva NIS1 (publicada en 2016) y va un paso más allá en cuánto al refuerzo de requisitos de seguridad y la manera de abordar la seguridad de las cadenas de suministro. Al mismo tiempo, simplifica las obligaciones de notificación de incidentes e introduce normas, medidas de supervisión y requisitos más estrictos y sanciones armonizadas en toda la UE.
También amplía el alcance cubierto por NIS, al obligar efectivamente a más entidades y sectores a tomar medidas. Ahora incluye a administraciones públicas, sector espacial o subsector del hidrógeno, además de entidades importantes y cadenas de suministro.
El objetivo es aumentar el nivel de ciberseguridad en Europa a largo plazo.
En concreto, la Directiva NIS2 identifica varios objetivos:
-
Aumentar el nivel de ciberresiliencia de todas las entidades públicas y privadas que cumplen funciones importantes para la economía y la sociedad en la Unión Europea.
-
Reducir las incoherencias en materia de resiliencia en los sectores ya cubiertos por la Directiva NIS1.
-
Mejorar el nivel de conocimiento conjunto de la situación y la capacidad colectiva para prepararse y responder a los ataques.
Con esta Directiva NIS2, Europa quiere hacer frente a los ciberdelitos y las amenazas cibernéticas y establecer medidas conjuntas que ayuden a las empresas, y al conjunto de la sociedad, a cuidar la ciberseguridad.
Si quieres saber más sobre nuestras soluciones tecnológicas para empresas, suscríbete a nuestro boletín o contacta con tu asesor personal o con nuestro equipo del área comercial empresas a través del siguiente formulario. Y para estar al día de las últimas noticias síguenos en LinkedIn.