nis 2 blog

NIS 2 está por llegar: esto es lo que las organizaciones del Reino Unido necesitan saber

Del Reino Unido Regulaciones de redes y sistemas de información (NIS) entró en vigor en mayo de 2018, tras la Directiva NIS de la UE de 2016. Debido al momento de su presentación, la mayoría de los medios de comunicación se centraron en la historia más importante del día: la llegada del nuevo RGPD. Pero al buscar mejorar la seguridad básica entre los “operadores de servicios esenciales” (OES) en sectores de infraestructura crítica, las Regulaciones NIS no fueron menos importantes.

El NIS del Reino Unido buscó ordenar el desarrollo de un aparato nacional de gestión de incidentes, mejorar el intercambio de información entre los estados miembros y mejorar la gestión de riesgos entre la comunidad OES. Pero el tiempo es el enemigo de los planificadores de la ciberseguridad y la UE aprobó recientemente una nueva versión: la directiva NIS2. Se aplicará a todas las organizaciones OES con sede en el Reino Unido que operen en la UE.

Sin embargo, ahora el Reino Unido ha abandonado el bloque; es el régimen regulatorio divergirá del NIS 2. No todo está completamente desarrollado todavía, pero veamos cuáles son las implicaciones para las organizaciones dentro del alcance tal como están.

Elevando el listón de la ciberseguridad en toda la UE

As Deloitte explica, NIS 2 fue diseñado con tres objetivos en mente:

  • Mejorar la ciberresiliencia en un número creciente de sectores OES en toda la UE
  • Reducir las inconsistencias en los niveles de resiliencia en sectores ya cubiertos por los NEI
  • Mejorar aún más el intercambio de información y establecer nuevas reglas para la respuesta a incidentes, mejorando así la confianza entre las autoridades competentes (reguladores)

Más concretamente, incluye varios elementos nuevos:

Un alcance más amplio: NIS 2 cubre organizaciones en nuevos sectores como telecomunicaciones, redes sociales, aguas residuales y alimentos y se aplicará a todas las organizaciones medianas y grandes en los sectores considerados proveedores de servicios "esenciales" o "importantes". También se cubrirán algunas organizaciones del sector público.

Multas más severas: Los reguladores podrán imponer sanciones por incumplimiento grave de hasta el 2% de la facturación anual, o 10 millones de euros (8.6 millones de libras esterlinas), lo que sea mayor.

Requisitos de seguridad básicos: NIS 2 introduce un conjunto mínimo de medidas que todas las organizaciones deben cumplir. Éstas incluyen:

  • Políticas de gestión de riesgos y seguridad de la información.
  • Gestión de incidentes para la prevención, detección y respuesta a ciberincidentes
  • Continuidad del negocio y gestión de crisis.
  • Seguridad de la cadena de suministro
  • Pruebas y auditorías de medidas de seguridad.
  • Cifrado fuerte

 

Seguridad de la cadena de suministro: Las organizaciones serán responsables de gestionar el riesgo de ciberseguridad en sus cadenas de suministro y supervisar la postura de seguridad de los proveedores.

Responsabilidad del director: El personal de alta dirección será responsable de la madurez de su función de seguridad. Deben recibir formación en ciberseguridad y realizar evaluaciones periódicas de riesgos en consecuencia.

Informe de incidentes: Cualquier incidente con un impacto potencialmente grave debe informarse al regulador dentro de las 24 horas siguientes a su descubrimiento. Se deberá enviar un informe de notificación completo a las 72 horas, antes de un informe final un mes después del incidente inicial.

¿Qué hay de nuevo para el Reino Unido?

En su respuesta a una convocatoria de opiniones sobre propuestas para mejorar la ciberresiliencia del Reino Unido, el gobierno fue bastante inequívoco acerca de NIS 2, diciendo: “Dado que el Reino Unido ya no está sujeto a la legislación de la UE y no implementará NIS 2, habrá diferencias entre la UE y el Reino Unido. La legislación del Reino Unido está diseñada para la economía del Reino Unido y para maximizar los beneficios para el Reino Unido”.

Entonces, ¿qué significa esto en la práctica? Estas son las principales áreas de divergencia:

Proveedores de servicios gestionados (MSP): El Reino Unido ampliará el tipo de proveedores de servicios digitales incluidos (actualmente limitados a motores de búsqueda, mercados en línea y proveedores de nube) a los MSP. Esto incluye proveedores que son:

  • B2B
  • Enfocados en servicios TI
  • Depende de las redes y los sistemas de información.
  • Proporcionar gestión y soporte regulares, administración activa y/o monitoreo de sistemas de TI, infraestructura, redes y/o seguridad.

Esto contrasta con NIS 2, que añade varios sectores nuevos a la lista cubierta por el reglamento, incluidas las telecomunicaciones, las redes sociales y la administración pública. También es más prescriptivo sobre el tamaño de la organización para garantizar que sólo se cubran las de tamaño mediano y grande.

Notificación de incidente: El Reino Unido propone que se informe al regulador de una gama más amplia de incidentes, incluidos aquellos que representan un alto riesgo o un impacto significativo en un servicio, incluso si no lo interrumpen. 

NIS 2 también contiene requisitos más exigentes para informar sobre “incidentes significativos”, es decir, aquellos que han causado, o son capaces de generar, interrupciones operativas significativas o pérdidas financieras para la entidad afectada u otros. También exige que los informes iniciales se realicen dentro de las 24 horas.

Organizaciones exentas: Los centros de datos no regulados como proveedores de nube estarán exentos, al igual que los desarrolladores de software y las pequeñas y microempresas. Sin embargo, el regulador, la ICO, puede designar proveedores de servicios micro/pequeños específicos dentro del alcance si se consideran esenciales para los servicios críticos del Reino Unido o la seguridad nacional.

Proveedores de servicios digitales: La ICO está preparada para adoptar un enfoque más basado en el riesgo para regular los servicios digitales en función de cuán críticos son los proveedores para brindar servicios esenciales.

NIS 2 adopta una línea más firme, con multas potencialmente elevadas por incumplimiento por parte de los proveedores de OES. 

NIS preparado para el futuro: El gobierno del Reino Unido se reserva el derecho de modificar las regulaciones en el futuro después de consultar al público, potencialmente agregando nuevos sectores considerados críticos para la economía.

¿Qué necesitas hacer?

Las organizaciones del Reino Unido deben decidir primero qué se les aplica: NIS 2, las regulaciones NIS modificadas del Reino Unido o ambas, según Marija Nonkovic, abogada de Salmón de Burges.

"Aunque existen similitudes entre los dos regímenes, las diferencias darán lugar a un cierto nivel de divergencia, lo que requerirá que las organizaciones que operan en la UE y el Reino Unido evalúen cuidadosamente sus obligaciones de cumplimiento de la ciberseguridad", explica.

“Las empresas deben tomarse el tiempo para asignar recursos apropiados desde el principio para garantizar que existan medidas de seguridad adecuadas para protegerse contra las amenazas cibernéticas, así como mantener la resiliencia ante un ataque cibernético para evitar incurrir en los costos y daños a la reputación que pueden resultar de incidentes de ciberseguridad”.

El desafío será el tiempo. NIS 2 entró en vigor el 16 de enero de 2023 y los estados miembros deben implementarlo antes del 17 de octubre de 2024. Sin embargo, es poco probable que entre en vigor un nuevo régimen de regulación NIS antes de 2024, según los expertos legales.

"Es probable que una diferencia en el momento de la implementación aumente los costos hasta cierto punto, ya que las empresas activas tanto en el Reino Unido como en la UE necesitarán asignar tiempo y recursos a los ejercicios de cumplimiento en dos ocasiones en lugar de una", argumenta el bufete de abogados. travers smith. Queda por ver si la divergencia en el Reino Unido realmente minimizará la carga regulatoria para las empresas nacionales, como espera el gobierno.

Entonces, ¿qué pasa después?

Como aconseja EY, Las empresas incluidas en el alcance de NIS 2 deben gestionar sus riesgos de seguridad de la información. Implementar un sistema de gestión de seguridad de la información (SGSI) es la mejor manera de hacerlo. Esto ayudará a agilizar el proceso para cumplir con estándares como ISO 27001 e ISO 22301, que a su vez pueden proporcionar un buen marco para cumplir con NIS 2.

Para aquellos que se centran en las Regulaciones NIS, un enfoque similar también sentaría las bases para su cumplimiento. Para obtener más información, el Centro Nacional de Seguridad Cibernética (NCSC), que actúa como equipo de respuesta a incidentes de seguridad informática (CSIRT) y punto de contacto único (SPOC) para incidentes NIS, también ha publicado un guía práctica. Es Colección del Marco de Evaluación Cibernética (CAF) es otro recurso útil.

Prepare su organización para el éxito

Si está buscando lograr el cumplimiento de NIS 2 y comenzar su viaje hacia una mejor información y seguridad cibernética, podemos ayudarlo. 

Descargue nuestra guía esencial de NIS 2, lea más y obtenga la información que necesita para mantenerse a la vanguardia y garantizar que su organización esté preparada para el éxito.

Descargar Ahora

Autor

Phil Muncaster

Phil Muncaster ha sido periodista de TI durante 20 años. Comenzó como reportero en el título de TI empresarial IT Week en 2005 y ascendió al puesto de editor de noticias antes de dejarlo para seguir una carrera independiente. Desde entonces, Phil ha escrito para títulos como The Register, donde trabajó como corresponsal en Asia mientras residía en Hong Kong durante más de dos años, MIT Technology Review, SC Magazine, Infosecurity Magazine y otros.

Ver todas las publicaciones de Phil Muncaster

Artículos Relacionados