La Directiva NIS2 es la legislación sobre ciberseguridad aplicable en toda la UE. NIS2 es una actualización de la Directiva sobre Seguridad de las Redes y los Sistemas Informáticos (NIS). Su objetivo es crear un nivel común de ciberseguridad en todos los Estados miembros de la Unión Europea.
Debes saber si tu empresa es crítica según la normativa y si su posición en la cadena de suministro la afecta. También es clave conocer las sanciones por incumplimiento y asegurarte de que tú y tus empleados estén bien formados para cumplir con los requisitos.
¿Quién es responsable de garantizar el cumplimiento de las normativas de seguridad de información?
El responsable de seguridad de los sistemas de información define la política de seguridad de los sistemas de información de la empresa (ISSP) de su empresa y es responsable de garantizar su correcta aplicación.
Medidas de ciberseguridad requeridas por NIS2
El artículo 21 de la Directiva NIS2 destaca que las entidades cubiertas deben gestionar el riesgo cibernético utilizando «medidas técnicas y organizativas apropiadas y proporcionadas». Estas medidas son las siguientes:
- Análisis de riesgos y políticas de seguridad de la información
- Gestión exhaustiva de incidentes
- Planificación de crisis y de la continuidad del negocio
- Sólida seguridad de la cadena de suministro
- Seguridad de red empresarial
- Gestión y divulgación de vulnerabilidades
- Políticas y procedimientos que evalúan la eficacia de la gestión de riesgos de ciberseguridad
- Uso de criptografía y cifrado
- Uso de la autenticación multifactor
¿Cómo afecta NIS2 a su organización?
NIS2 se aplica a todas las empresas que operen en la UE, incluidas «todas las entidades públicas y privadas del mercado interior que cumplan funciones importantes para la economía y la sociedad en su conjunto», las cuales «deben adoptar medidas adecuadas de ciberseguridad».
La Directiva divide las «entidades cubiertas» en dos tipos: entidades esenciales (EE) y entidades importantes (IE). La diferencia entre las dos clases con respecto al cumplimiento es que las entidades esenciales están sujetas a requisitos normativos más estrictos para supervisar el cumplimiento, las obligaciones de notificación de incidentes y las medidas de aplicación en los sistemas de información. Algunos ejemplos de cada tipo de entidad son:
Las entidades que operen en los siguientes sectores pueden considerarse esenciales (EE);
- Transporte
- Energía
- Banca
- Salud
- Agua
Las entidades que operen en los siguientes sectores pueden considerarse importantes (IE);
- Servicios postales y de mensajería
- Gestión de residuos
- Producción y procesamiento de productos químicos
- Comida
- Proveedores digitales (motores de búsqueda, plataformas de redes sociales, etc.)