¿Sabes cómo te afecta la nueva normativa europea NIS2?

NIS2: La nueva normativa europea, ¿sabes cómo te afecta?

Nueva normativa NIS2 impactando en la ciberseguridad europea, obligando a las organizaciones a implementar políticas de seguridad robustas y capacitar a sus directivos y empleados en ciberseguridad.
Nueva normativa NIS2 impactando en la ciberseguridad europea, obligando a las organizaciones a implementar políticas de seguridad robustas y capacitar a sus directivos y empleados en ciberseguridad.

La normativa europea de ciberseguridad NIS2

El 16 de enero de 2023 entró en vigor la Directiva (UE) 2022/2555 conocida como NIS2 por sus siglas en Inglés (Network and Information Systems) o SRI2 por sus siglas en español (Seguridad de las Redes de la Información). Esta norma sustituye a la Directiva (UE) 2016/1148 y mejora el estado de la ciberseguridad existente en toda la UE de las siguientes diferentes maneras.

Nuevas obligaciones de ciberseguridad

Con la normativa NIS2, aparecen dos nuevas obligaciones para las organizaciones:

Notificación de incidentes de seguridad

Con la Normativa NIS2, cuando se produzca un incidente de ciberseguridad, las organizaciones dispondrán de 24 horas para notificarlo a la Agencia Nacional de Seguridad de los Sistemas de Información, aunque este plazo aún no es definitivo y podrá revisarse antes de que la directiva se incorpore a la legislación nacional. 

Formación en ciberseguridad para directivos, gerentes y empleados

La formación interna es un punto clave de esta nueva directiva y fomenta la sensibilización masiva en materia de ciberseguridad.

El principal reto de la NIS2 es obligar a aplicar medidas técnicas, pero también y sobre todo medidas operativas y organizativas. Toda la organización debe implicarse en la ciberseguridad, no solo el departamento informático, por eso la directiva exige formación en ciberseguridad a los altos directivos, que deben aprobar sistemáticamente todas las medidas de seguridad. Además, los altos directivos que representen a la organización podrían ser considerados responsables de cualquier incumplimiento de las obligaciones que impone la directiva.

¿En qué consiste la nueva normativa europea NIS2?

Las medidas contempladas para esta normativa se basan en un enfoque global de los peligros y tiene por objeto proteger las redes y los sistemas de información, así como el entorno físico de dichos sistemas. Las medidas incluirán «como mínimo» lo siguiente:

a) Políticas de análisis de riesgos y seguridad de los sistemas de información.

b) Gestión de incidentes de seguridad.

c) Control de la continuidad de las actividades, como la gestión de copias de seguridad y la recuperación en casos de desastre, así como la gestión de crisis.

d) Seguridad de la cadena de suministro, incluidos los aspectos relacionados con la seguridad relativos a las relaciones entre cada entidad y sus proveedores directos o prestadores de servicios.

e) Seguridad en la adquisición, el desarrollo y el mantenimiento de redes y sistemas de información, incluida la gestión y divulgación de vulnerabilidades.

f) Creación de políticas y procedimientos para evaluar la eficacia de las medidas de gestión de riesgos de ciberseguridad.

g) Prácticas básicas de higiene cibernética y formación en ciberseguridad.

h) Generación de políticas y procedimientos relativos al uso de la criptografía y, en su caso, del cifrado.

i) Gestión de la seguridad de los recursos humanos, políticas de control de acceso y gestión de activos.

j) Uso de soluciones de Autenticación Multifactor o “autenticación continua”, comunicaciones seguras de voz, vídeo y texto y sistemas seguros de comunicación de emergencia dentro de la entidad, cuando proceda.

¿A quién afecta la normativa de ciberseguridad?

La normativa se ha creado con la idea de contemplar casi todos los sectores de la industria y el comercio, ya que los Sistemas de información y comunicaciones forman una parte importante en caso todas las actividades comerciales e industriales actualmente. 

Para ello se clasifican dos categorías de actividades:

Sectores clasificados como de alta criticidad incluyen:

  • Energía
  • Transporte
  • Banca
  • Infraestructuras de los mercados financieros
  • Sanidad
  • Agua potable
  • Aguas residuales
  • Infraestructuras digitales
  • Gestión de servicios de TIC
  • Administración pública
  • Industria Aeroespacial

Sectores considerados como otros sectores críticos son:

  • Servicios postales y de mensajería
  • Gestión de residuos
  • Fabricación, producción y distribución de productos químicos
  • Producción, transformación y distribución de alimentos
  • Fabricación
  • Proveedores de servicios digitales
  • Investigación

Plazos y entrada en vigor.

Esta normativa establece una serie de plazos para su implantación:

  • A más tardar el 17 de octubre de 2024, los Estados miembros deben adoptar y publicar las medidas necesarias para cumplir la Directiva NIS2.
  • Aplicarán dichas medidas a partir del 18 de octubre de 2024.
  • Queda derogada la Directiva (UE) 2016/1148 (Directiva SRI) con efectos a partir del 18 de octubre de 2024.
  • A más tardar el 17 de julio de 2024 y, posteriormente, cada 18 meses, EU-CyCLONe presentará al Parlamento Europeo y al Consejo un informe en el que se evalúe su trabajo.
  • A más tardar el 17 de octubre de 2024, la Comisión adoptará actos de ejecución por los que se establezcan los requisitos técnicos y metodológicos de las medidas en relación con los proveedores de servicios de DNS, los registros de nombres de TLD, los proveedores de servicios de computación en nube, los proveedores de servicios de centros de datos, los proveedores de redes de distribución de contenidos, los proveedores de servicios gestionados, los proveedores de servicios de seguridad gestionados, los proveedores de mercados en línea, de motores de búsqueda en línea y de plataformas de servicios de redes sociales.  y proveedores de servicios de confianza.
  • El 17 de enero de 2025, el Grupo de Cooperación establecerá, con la asistencia de la Comisión y de ENISA y, en su caso, de la red de CSIRT, la metodología y los aspectos organizativos de las revisiones inter pares, con vistas a aprender de las experiencias compartidas, reforzar la confianza mutua, alcanzar un elevado nivel común de ciberseguridad, así como mejorar las capacidades y políticas de ciberseguridad de los Estados miembros necesarias para aplicar la presente Directiva. La participación en las revisiones por pares es voluntaria. Las revisiones inter pares serán llevadas a cabo por expertos en ciberseguridad. Los expertos en ciberseguridad serán designados por al menos dos Estados miembros, distintos del Estado miembro objeto de revisión.
  • A más tardar el 17 de abril de 2025, los Estados miembros establecerán una lista de entidades esenciales e importantes, así como de entidades que presten servicios de registro de nombres de dominio. Los Estados miembros revisarán y, en su caso, actualizarán dicha lista periódicamente y, posteriormente, al menos cada dos años.
  • A más tardar el 17 de abril de 2025 y, posteriormente, cada dos años, las autoridades competentes notificarán a la Comisión y al Grupo de Cooperación el número de entidades esenciales e importantes para cada sector.
  • A más tardar el 17 de octubre de 2027 y, posteriormente, cada 36 meses, la Comisión revisará el funcionamiento de la presente Directiva e informará al Parlamento Europeo y al Consejo.

Nota importante para las entidades no pertenecientes a la UE

En virtud del artículo 26 (Jurisdicción y territorialidad), Hay una serie de entidades mencionadas en el párrafo 26.1. b:

  • Proveedores de servicios de DNS.
  • Registros de nombres de dominio de nivel superior.
  • Entidades que prestan servicios de registro de nombres de dominio.
  • Proveedores de servicios de computación en nube.
  • Proveedores de servicios de centros de datos.
  • Proveedores de redes de distribución de contenidos.
  • Proveedores de servicios gestionados.
  • Proveedores de servicios de seguridad gestionados.
  • Proveedores de mercados en línea.
  • Motores de búsqueda en línea.
  • Plataformas de servicios de redes sociales.

Una entidad cuya actividad corresponda a una o varias de las anteriores que no esté establecida en la UE, pero ofrece servicios dentro de la UE, designará a un representante en la UE. El representante deberá estar establecido en uno de los Estados miembros en los que se ofrezcan los servicios. Se considerará que dicha entidad está sometida a la jurisdicción del Estado miembro en el que esté establecido el representante. En ausencia de representante, cualquier Estado miembro en el que la entidad preste servicios podrá emprender acciones legales contra la entidad por la infracción de la presente Directiva.

Esta nueva normativa conlleva nuevas obligaciones y más responsabilidad sobre la ciberseguridad para las compañías europeas. ¿Estás preparado para asumir las nuevas exigencias? Contacta con nuestro equipo y te ayudaremos.

Autor: Sergio Rojas

Fuentes:

https://www.nis-2-directive.com/
https://www.enisa.europa.eu/topics/cybersecurity-policy/nis-directive-new
What is NIS 2 Directive? A detailed and straightforward guide

Otros artículos

Scroll al inicio
Resumen de Cookies

Una Cookie es un fichero que se descarga en su ordenador al acceder a determinadas páginas web. Las cookies permiten a una página web, entre otras cosas, almacenar y recuperar información sobre los hábitos de navegación de un usuario o de su equipo y, dependiendo de la información que contengan y de la forma en que utilice su equipo, pueden utilizarse para reconocer al usuario. El navegador del usuario memoriza cookies en el disco duro solamente durante la sesión actual ocupando un espacio de memoria mínimo y no perjudicando al ordenador. Las cookies no contienen ninguna clase de información personal específica, y la mismas se borran del disco duro al finalizar la sesión de navegador (las denominadas cookies de sesión).

La mayoría de los navegadores aceptan como estándar a las cookies y, con independencia de las mismas, permiten o impiden en los ajustes de seguridad las cookies temporales o memorizadas.

Cookies utilizadas en el sitio Web

A continuación se clasifican las cookies utilizadas por este sitio Web:

  • Cookies técnicas: Son aquéllas que permiten al usuario la navegación a través de una página web, plataforma o aplicación y la utilización de las diferentes opciones o servicios que en ella existan como, por ejemplo, controlar el tráfico y la comunicación de datos, identificar la sesión, acceder a partes de acceso restringido, recordar los elementos que integran un pedido, realizar el proceso de compra de un pedido, realizar la solicitud de inscripción o participación en un evento, utilizar elementos de seguridad durante la navegación, almacenar contenidos para la difusión de videos o sonido o compartir contenidos a través de redes sociales.
  • Cookies de personalización: Son aquéllas que permiten al usuario acceder al servicio con algunas características de carácter general predefinidas en función de una serie de criterios en el terminal del usuario como por ejemplo serian la dirección IP de conexión, el idioma, el tipo de navegador a través del cual accede al servicio, la configuración regional desde donde accede al servicio, etc.
  • Cookies de análisis: Son aquéllas que, bien tratadas por nosotros o por terceros, nos permiten cuantificar el número de usuarios y así realizar la medición y análisis estadístico de la utilización que hacen los usuarios del servicio ofertado. Para ello se analiza su navegación en nuestra página web con el fin de mejorar la oferta de productos o servicios que le ofrecemos.
  • Cookies publicitarias: Son aquéllas que, bien tratadas por nosotros o por terceros, nos permiten gestionar de la forma más eficaz posible la oferta de los espacios publicitarios que hay en la página web, adecuando el contenido del anuncio al contenido del servicio solicitado o al uso que realice de nuestra página web. Para ello podemos analizar sus hábitos de navegación en Internet y podemos mostrarle publicidad relacionada con su perfil de navegación.
  • Cookies de publicidad comportamental: Son aquéllas que permiten la gestión, de la forma más eficaz posible, de los espacios publicitarios que, en su caso, el editor haya incluido en una página web, aplicación o plataforma desde la que presta el servicio solicitado. Estas cookies almacenan información del comportamiento de los usuarios obtenida a través de la observación continuada de sus hábitos de navegación, lo que permite desarrollar un perfil específico para mostrar publicidad en función del mismo.
  • Cookies propias o de terceros: Las cookies “propias”, son las gestionadas por el dominio al que el usuario está accediendo y del que solicita un determinado servicio. No obstante, la Web puede utilizar servicios de terceros que, por cuenta del titular de la Web, recopilaran información con fines estadísticos, de uso de la Web por parte del usuario y para la prestación de otros servicios relacionados con la actividad de la Web y otros servicios de Internet. Generalmente, son enviadas al equipo del usuario desde un dominio diferente al nuestro que es gestionado por otra entidad colaboradora.
  • Cookies de sesión o permanentes: Las cookies de sesión se asignan al dispositivo desde el que el usuario esté navegando sólo por la duración de la visita a la web, estas cookies desaparecen automáticamente cuando el usuario cierra el navegador. Si las cookies son permanentes los datos se almacenan en el equipo del usuario utilizado para navegar, siendo su duración temporal la mínima imprescindible atendiendo a la finalidad de su uso. La duración temporal de las cookies permanentes y su fecha de expiración puede ser consultada a través de la configuración de su navegador.
  • Cookies de redes sociales: Las cookies de RRSS pueden almacenarse en su navegador mientras navega por dichas redes, por ejemplo, cuando utiliza el botón de compartir contenidos en alguna red social. La información sobre las cookies de las redes sociales que utiliza esta web puede verla en sus propias políticas de cookies.