hasta 2

NIS 2: Qué significan los cambios propuestos para su empresa

En diciembre de 2022, el Unión Europea confirmaron que están avanzando con planes para ampliar el alcance de la Directiva de Redes y Sistemas de Información (NIS) para incluir subcontratistas y proveedores de servicios gestionados.

Se ha impulsado una serie de reformas y actualizaciones de la Directiva sobre sistemas de información de red (NIS) para fortalecer aún más la ciberresiliencia. El nuevo NIS 2 incorporará a los proveedores de TI subcontratados y a los proveedores de servicios gestionados (MSP) dentro del alcance de las reglas para proteger mejor las cadenas de suministro vitales y los servicios nacionales críticos de los ciberataques luego de una interrupción significativa en los últimos años.

En un comunicado de prensa, el Consejo de la UE dijo que "establecerá la base para las medidas de gestión de riesgos de ciberseguridad y las obligaciones de presentación de informes en todos los sectores cubiertos por la directiva, como la energía, el transporte, la salud y la infraestructura digital".

Por incumplimiento de las regulaciones NIS, las empresas que brindan servicios esenciales como energía, atención médica, transporte o agua pueden recibir multas de hasta £17 millones en el Reino Unido y €10 millones o el 2% de la facturación mundial en la UE.

¿Qué es la Directiva sobre sistemas de información de red (NIS) y por qué se ha actualizado? 

La UE lanzó la Directiva sobre redes y sistemas de información (NIS) en 2016 tras el aumento de la preocupación por los ciberataques. Además de fortalecer las capacidades de ciberseguridad de los estados miembros, la directiva esperaba aumentar la colaboración en ciberseguridad entre los estados miembros. También alentó a los estados a supervisar la ciberseguridad en toda su infraestructura nacional crítica (CNI), como la energía, el transporte y la atención médica.

Siete años después del lanzamiento de la directiva, el panorama de las amenazas cibernéticas ha cambiado significativamente y la directiva no satisface del todo las necesidades de la evolución de las perspectivas de riesgos de seguridad cibernética para 2023. Los ciberataques y las filtraciones de datos han aumentado exponencialmente, específicamente a medida que las personas se vuelven más dependientes de la tecnología digital. Además, el aumento de los ataques a CNI, como se vio en el ataque a SolarWinds, las lagunas en la legislación NIS original y las inconsistencias en la forma en que los estados miembros han implementado NIS demuestran las limitaciones del modelo anterior y la necesidad de un reemplazo más integral.

¿Cuáles son los requisitos básicos de la directiva NIS 2?

NIS 2 abordará los problemas de la legislación NIS anterior y endurecerá las reglas. Lo más importante es que se trata de la forma incoherente en que se implementó la Directiva NIS original, ya que complicó la colaboración entre países y socavó el objetivo general de garantizar la eficacia de la ciberseguridad de la UE.

NIS 2 requerirá que las organizaciones garanticen que se implementen las siguientes medidas para gestionar los riesgos de ciberseguridad:

Política de seguridad de la información

Una parte fundamental de la ciberseguridad es evaluar su nivel de riesgo. NIS 2 requerirá que las empresas evalúen el impacto potencial de un ataque en sus activos más vitales y estén alerta a posibles vulnerabilidades de la red o noticias de otros miembros de la industria que estén siendo atacados. También necesitarán adoptar un enfoque proactivo en lugar de reactivo para la gestión de riesgos mediante la introducción de políticas sólidas. políticas de seguridad de la información para garantizar un análisis de riesgos sistemático y exhaustivo.

Prevención, detección y respuesta a incidentes

NIS 2 requiere que las organizaciones tengan planes y planes de respaldo, realicen simulacros y capaciten a todas las partes relevantes. Una vez que una organización ha identificado sus vulnerabilidades más importantes, la directiva actualizada les exige implementar procedimientos claros para prevenir ataques y acordar métodos para detectar posibles incidentes. Esto debería resultar en una plan de respuesta a incidentes con una cadena de mando transparente para su implementación.

Continuidad del negocio y gestión de crisis

El NIS 2 actualizado pretende garantizar que un la empresa puede continuar con sus operaciones en caso de un ciberataque. Las organizaciones deben tener un plan verificable sobre cómo reaccionará la empresa ante un ataque y cómo recuperarse de él lo más rápido posible, minimizando las interrupciones. Como resultado, NIS 2 incluye un enfoque en soluciones de respaldo en la nube.

Seguridad de la cadena de suministro

Seguridad de la cadena de suministro ha estado bajo el microscopio a nivel mundial durante algún tiempo. NIS 2 duplica esto y requiere que las organizaciones consideren las vulnerabilidades de cada uno de sus proveedores y proveedores de servicios y sus prácticas de ciberseguridad, incluidos los proveedores de almacenamiento de datos. La directiva garantiza que las organizaciones comprendan claramente los riesgos, mantengan una relación estrecha con los proveedores y actualicen continuamente la seguridad para garantizar las mayores protecciones posibles. 

Divulgación de vulnerabilidad

NIS 2 requerirá una divulgación y gestión de vulnerabilidades más transparentes. Las organizaciones deben proporcionar formas para que el público informe cualquier vulnerabilidad y garantizar que el departamento correspondiente actúe en función de esta información. Si una organización identifica una vulnerabilidad dentro de su red, la directiva actualizada les exige que la revelen. La divulgación de dichas vulnerabilidades respaldará la lucha contra el ciberdelito y garantizará que no sean explotadas en otros lugares.

NIS 2 también impondrá enfoques actualizados para:

Informe de incidentes

Según la directiva actualizada, las empresas deben presentar un informe inicial dentro de las 24 horas siguientes a tener conocimiento de cualquier incidente "significativo", una notificación completa del incidente dentro de las 72 horas y un informe final dentro de un mes a cualquier autoridad competente pertinente, el Equipo de Respuesta a Incidentes de Seguridad Informática ( CSIRT), y en ocasiones, a sus clientes.

Un incidente “significativo” es cualquier incidente que haya causado o sea capaz de causar una interrupción operativa grave del servicio o pérdidas financieras o si el incidente ha afectado o es capaz de causar pérdidas considerables a otros.

Colaboración

La primera directiva NEI fracasó porque no consideró las diferentes formas en que operaban los países individuales. Por lo tanto, NIS 2:

  • Fomentar un mayor intercambio de datos entre autoridades.
  • Exigir que las autoridades participen en la respuesta a incidentes a nivel de la UE en lugar de a nivel nacional.
  • Establecer una red de organizaciones de enlace entre la UE y las crisis cibernéticas (EU CyCLONe), un organismo central para coordinar y gestionar las respuestas a los incidentes cibernéticos en toda la UE.

Al centralizar los controles de ciberseguridad a nivel de la UE y exigir que todos cumplan con los mismos estándares de ciberseguridad, NIS 2 tiene como objetivo simplificar un sistema que antes estaba poco coordinado. Esto debería facilitar el intercambio colaborativo de datos y soluciones más eficientes a los incidentes cibernéticos a medida que ocurren.

¿Quién debe cumplir con NIS 2?

NIS 2 se aplicará a cualquier organización con más de 50 empleados cuya facturación anual supere los 10 millones de euros y a cualquier organización previamente incluida en la Directiva NIS original.  

La directiva actualizada también aumentará su alcance para incluir las siguientes nuevas industrias:

  • Comunicaciones electronicas
  • Servicios digitales
  • Espacio
  • Gestión de residuos
  • Gastronomía
  • Fabricación de productos críticos (es decir, medicamentos)
  • Servicios postales
  • Administración pública

Las industrias incluidas en la directiva original permanecerán dentro del ámbito de la directiva NIS 2 actualizada. Algunas organizaciones más pequeñas, críticas para el funcionamiento de un estado miembro, también se incluirán en el mandato de NIS 2 debido a los posibles problemas que podrían surgir si un ciberataque las afectara.

¿Se aplica NIS 2 a las empresas del Reino Unido?

La Gobierno del Reino Unido han confirmado que seguirán adelante con sus planes para actualizar las regulaciones NIS que se aplican en el Reino Unido, ampliando la regulación para incluir a todos los proveedores de servicios gestionados digitales (MSP).

Como parte de esta actualización planificada en el Reino Unido, habrá alineación con NIS 2 en muchas áreas, particularmente cuando se aplica a proveedores de servicios gestionados, subcontratación de TI y requisitos básicos como informes de incidentes, seguridad de la cadena de suministro y continuidad del negocio.

La actualización del Reino Unido “se realizará tan pronto como lo permita el tiempo parlamentario” y forma parte de los 2.6 millones de libras esterlinas (3.2 millones de dólares) del gobierno. Estrategia Cibernética Nacional. Entonces, si bien es posible que los cambios en el Reino Unido no entren en vigor tan pronto como 2024, no hay garantías, y las empresas deberían estar bien preparadas en lugar de quedarse cortas en el futuro.

¿Cuáles son las implicaciones de no cumplir con NIS 2? 

NIS 2 viene con requisitos de aplicación mucho más estrictos que su predecesor. Las sanciones por no conformidad van desde una auditoría de seguridad y la orden de seguir recomendaciones establecidas hasta multas de 10 millones de euros o el 2% de la facturación mundial total de la organización, cualquiera de estas cifras sea mayor.

En particular, estas multas son las mismas que se imponen por RGPD violaciones, y NIS 2 debe entenderse de manera similar. La iniciativa NIS 2 representa un salto significativo en ciberseguridad y debe tratarse con la misma seriedad que el enorme cambio radical que impulsó el RGPD en la protección de datos.

Un enfoque basado en estándares para NIS 2

Para organizaciones que buscan lograr el cumplimiento con NIS 2, la certificación contra ISO 27001 para la seguridad de la información podría ser un primer paso poderoso.

Las propias regulaciones NIS mencionan que cualquier medida que las empresas tomen para cumplir debe considerar el “cumplimiento de los estándares internacionales”, mientras que las directrices técnicas emitidas por la Agencia de Ciberseguridad de la Unión Europea (ENISA) asignan cada objetivo de seguridad a varios estándares de mejores prácticas, incluidos ISO 27001. 

Un sistema de gestión de la información (SGSI) compatible con ISO 27001 permite a las organizaciones reducir su riesgo y exposición a amenazas de seguridad al identificar las políticas relevantes que necesitan documentar, las tecnologías para protegerse y la capacitación del personal para evitar errores. También exigen que las organizaciones realicen evaluaciones de riesgos anuales, lo que les ayuda a mantenerse a la vanguardia del panorama de riesgos en constante cambio.

ISO 27001 ayudará a las organizaciones a cumplir con los requisitos de NIS 2 y, al mismo tiempo, logrará una certificación auditada de forma independiente. Esto proporciona evidencia a los proveedores, partes interesadas y reguladores de que usted ha tomado las medidas técnicas y organizativas “apropiadas y proporcionadas” requeridas y demuestra una ventaja competitiva dentro del mercado.

Las organizaciones que deseen ir un paso más allá podrían considerar agregar ISO 22301 para la gestión de la continuidad del negocio. ISO 22301 está diseñado para ayudarle a implementar, mantener y mejorar continuamente su enfoque hacia la continuidad del negocio. Si bien algunos aspectos de ISO 27001 incluyen la gestión de la continuidad del negocio (BCM), no define un proceso para la implementación de BCM. Ahí es donde entra en juego la norma complementaria ISO 22301. La certificación según esta norma demostraría aún más el cumplimiento de NIS 2. 

27001 e ISO 22301 también funcionan bien juntos, lo que le permite desarrollar un sistema de gestión integrado que comprenda tanto un SGSI como un BCMS. Este enfoque también le ayudará a desarrollar una sólida resiliencia cibernética.

Conclusiones de NIS 2

Tras la publicación de la directiva EU NIS 2 en el Diario Oficial de la Unión Europea, la directiva entró en vigor el 20 de diciembre de 2022. Los estados miembros tienen 21 meses para incorporar las disposiciones a su legislación nacional.

Los plazos para la implementación en el Reino Unido son menos claros: el Gobierno del Reino Unido se ha comprometido a presentar la legislación necesaria “cuando el tiempo parlamentario lo permita”. Dadas las prioridades actuales del Gobierno, esperamos que el nuevo régimen entre en vigor no antes de 2024.

Prepare su organización para el éxito hoy con ISO 27001

Si está buscando lograr el cumplimiento de NIS 2 y comenzar su viaje hacia una mejor información y seguridad cibernética, podemos ayudarlo. 

Descargue nuestra guía esencial para leer más y obtener la información que necesita para mantenerse a la vanguardia y garantizar que su organización esté preparada para el éxito.

Descargar

Recursos

  1. ENISA – https://www.consilium.europa.eu/en/press/press-releases/2022/11/28/eu-decides-to-strengthen-cybersecurity-and-resilience-across-the-union-council- adopta-nueva-legislacion/
  2. GOV.uk – https://www.gov.uk/government/publications/national-cyber-strategy-2022
  3. NCSC – https://www.ncsc.gov.uk/collection/caf/nis-introduction

 

Última edición: 18 de mayo de 2023
Autor

rebeca harper

Rebecca es la directora de marketing de contenidos de ISMS.online. Con más de 12 años en la industria de la información y la ciberseguridad, Rebecca se dedica a educar, crear conciencia y empoderar a las empresas para que logren objetivos de gestión de cumplimiento, información y ciberseguridad.

Ver todas las publicaciones de Rebecca Harper

Artículos Relacionados

ISMS.online ahora es compatible con ISO 42001, el primer sistema de gestión de IA del mundo. Haga clic para saber más