¿Está tu empresa preparada para cumplir con la NIS2?
En DataBytes queremos informarte sobre una importante actualización en la ciberseguridad que afectará a muchas empresas en Europa: la Directiva NIS2. Esta nueva regulación de la Unión Europea está diseñada para mejorar la seguridad y la resiliencia de las redes y sistemas de información en todos los estados miembros, y queremos ayudarte a navegar el complejo panorama de la NIS2 y asegurar que tu empresa esté preparada para su cumplimiento.
¿Qué es la Directiva NIS2?
La Directiva NIS2 es una versión mejorada de la Directiva NIS original, con un alcance más amplio y requisitos de seguridad más estrictos. Los puntos clave son:
- Requisitos de seguridad mejorados: las empresas deberán implementar medidas de seguridad más rigurosas para proteger sus sistemas y datos.
- Alcance más amplio: la directiva ahora cubre más sectores, pasando de 7 a 15, incluyendo sectores como la energía, el transporte, la salud y las finanzas.
- Aplicación más estricta: se han introducido sanciones armonizadas y medidas de supervisión más rigurosas para garantizar el cumplimiento.
- Seguridad de la cadena de suministro: la NIS2 también aborda la seguridad de las cadenas de suministro, crucial para prevenir amenazas cibernéticas.
Ámbito de aplicación: sectores y tipos de organizaciones afectadas
La Directiva NIS2 amplía su alcance para incluir una gama más amplia de sectores y tipos de organizaciones que son considerados esenciales para el funcionamiento de la sociedad y la economía. Para determinar si una empresa está obligada a cumplir con la Directiva NIS2, hay varias condiciones y criterios específicos que deben considerarse:
Localización
Si ofrecen servicios o desarrollan actividades en cualquier país de la Unión Europea (con independencia de si tienen su sede en la UE o no).
Sector de la actividad
Los sectores más críticos:
-
-
- Energía.
- Transporte.
- Banca.
- Infraestructura de los mercados financieros.
- Sector sanitario.
- Agua potable.
- Aguas residuales.
- Infraestructura digital.
- Gestión de servicios TIC (de empresa a empresa).
- Entidades de la administración pública con exclusión del poder judicial, los parlamentos y los bancos centrales.
-
Otros sectores críticos:
-
-
- Servicios postales y de mensajería.
- Gestión de residuos.
- Fabricación, producción y distribución de sustancias y mezclas químicas.
- Producción, transformación y distribución de alimentos.
- Fabricación de productos sanitarios y productos sanitarios para diagnóstico in vitro, fabricación de productos informáticos, ópticos y electrónicos, fabricación de material eléctrico, fabricación de maquinaria y equipo N.C.O.P, fabricación de vehículos a motor, remolques y semirremolques, fabricación de otro material de transporte.
- Proveedores digitales.
-
Tamaño y relevancia
El tamaño y la relevancia de la empresa también es importante. La mayoría de las grandes empresas de sectores críticos y esenciales están obligadas a cumplir con la NIS2.
Sin embargo, es importante tener en cuenta que, con independencia de su tamaño, cualquier entidad incluida en los sectores anteriormente mencionados, que un Estado miembro que se identifique como esencial, también debe cumplir la directiva NIS2. Es el caso, por ejemplo, de proveedores únicos de un servicio esencial o si se trata de una empresa crítica por su importancia específica a nivel nacional o regional.
¿Cómo te afecta esto?
Si tu empresa opera en uno de los sectores cubiertos por la NIS2, es fundamental que comiences a prepararte para cumplir con los nuevos requisitos. Aquí hay algunos pasos que puedes tomar:
- Evaluar tu situación actual: realiza una auditoría de tus sistemas y prácticas de seguridad actuales.
- Actualizar tus medidas de seguridad: asegúrate de que tus medidas de seguridad cumplan con los nuevos estándares.
- Capacitar a tu personal: proporciona formación en ciberseguridad a tus empleados para que estén al tanto de las mejores prácticas.
- Colaborar con proveedores: trabaja con tus proveedores para garantizar que también cumplan con los requisitos de seguridad.
Principales medidas de seguridad de la NIS2.
La normativa NIS2 establece una serie de medidas que las organizaciones incluidas en el ámbito de aplicación deben cumplir antes de la fecha límite del 17 de octubre de 2024.
Medidas técnicas y organizativas
- Evaluación de riesgos: realizar evaluaciones periódicas de los riesgos de ciberseguridad para identificar vulnerabilidades y amenazas.
- Políticas de seguridad: desarrollar y mantener políticas y procedimientos de seguridad que aborden la gestión de riesgos, la protección de datos y la respuesta a incidentes.
- Controles de acceso: implementar controles de acceso estrictos para garantizar que solo el personal autorizado tenga acceso a los sistemas y datos críticos.
- Monitoreo y detección: establecer sistemas de monitoreo continuo para detectar y responder a actividades sospechosas o no autorizadas.
- Protección de datos: asegurar la integridad, confidencialidad y disponibilidad de los datos mediante el uso de cifrado y otras tecnologías de protección de datos.
- Gestión de incidentes: desarrollar y probar regularmente planes de respuesta a incidentes para garantizar una respuesta rápida y efectiva a los incidentes de ciberseguridad significativos, siendo este considerado como tal si:
- Ha causado o puede causar graves perturbaciones operativas de los servicios o pérdidas económicas para la entidad afectada.
- Ha afectado o puede afectar a otras personas físicas o jurídicas al causar perjuicios materiales o inmateriales considerables.
Obligaciones de notificación de incidentes
La notificación debe realizarse sin demora indebida y, en cualquier caso, dentro de las 24 horas siguientes a la detección del incidente, y debe incluir información detallada sobre la naturaleza del incidente, su impacto, las medidas adoptadas y cualquier otra información relevante.
Requisitos de cooperación y coordinación
Para fortalecer la ciberseguridad a nivel europeo, NIS2 promueve la cooperación y coordinación entre los Estados miembros y las organizaciones:
- Intercambio de información: las organizaciones deben cooperar con las autoridades competentes y otros actores relevantes, compartiendo información sobre amenazas, vulnerabilidades e incidentes.
- Participación en redes de cooperación: las organizaciones deben participar en redes y foros de cooperación para intercambiar buenas prácticas y lecciones aprendidas en materia de ciberseguridad.
- Apoyo mutuo: en caso de incidentes de gran envergadura, las organizaciones deben estar preparadas para prestar apoyo mutuo y colaborar en la mitigación de los efectos del incidente.
Impacto de la NIS2 en las empresas.
La adopción de la normativa NIS2 tendrá un impacto significativo en las empresas, especialmente aquellas que cuentan con una infraestructura menos preparada, ya que implicará llevar a cabo diversos cambios y adaptaciones, así como inversiones económicas y de recursos para su cumplimiento:
- Las organizaciones deberán revisar y actualizar sus políticas de seguridad para que estén alineadas con los nuevos requisitos de la NIS2.
- Implementar procedimientos específicos para la identificación, evaluación y mitigación de riesgos de ciberseguridad.
- Desarrollar y probar regularmente planes de respuesta a incidentes que incluyan protocolos claros para la notificación y gestión de incidentes.
- Invertir en tecnologías avanzadas de ciberseguridad para mejorar los sistemas de detección y prevención de intrusiones o sistemas de cifrado, entre otros.
- Realizar evaluaciones periódicas de seguridad, incluyendo pruebas de penetración y auditorías de ciberseguridad.
- Otro factor importante será la formación proporcionada de forma continua a los empleados sobre las mejores prácticas de ciberseguridad para mejorar la concienciación sobre los posibles peligros.
Consecuencias para las empresas que no cumplan con la normativa NIS2.
El incumplimiento de la normativa NIS2 puede tener consecuencias graves para las empresas, desde las sanciones impuestas por las autoridades hasta daños irreparables a la reputación.
Consecuencias financieras:
La Directiva NIS2 marca unas directrices claras que las organizaciones deben seguir, autorizando a las autoridades correspondientes a imponer sanciones a las empresas que no cumplan con dichos requisitos, de forma proporcionada y disuasoria:
-
- Un máximo de, al menos, 10.000.000 euros o hasta el 2% del volumen de negocios total anual a escala mundial de la empresa a la que pertenezca la entidad esencial en el ejercicio precedente, optándose por la de mayor cuantía.
- Un máximo de, al menos, 7.000.000 euros o el 1,4% del volumen de negocios total anual a nivel mundial de la empresa a la que pertenece la entidad importante en el ejercicio precedente, optándose por la de mayor cuantía.
Consecuencias legales
Las empresas que no cumplan con NIS2 pueden enfrentarse a litigios y demandas de clientes, socios comerciales y otros afectados en caso de que se produzca un incidente de ciberseguridad. Esto puede resultar en costosos procedimientos legales. Además, si la empresa es considerada responsable por los daños y perjuicios causados por su incumplimiento de la normativa, también puede implicar compensaciones económicas a las partes afectadas.
Consecuencias operativas
Los incidentes de ciberseguridad y la falta de preparación y respuesta adecuada a estos puede resultar en:
-
- Interrupciones significativas en las operaciones de la empresa, afectando a la continuidad del negocio y provocando pérdidas financieras.
- Pérdida de datos críticos que pueden implicar un impacto en las operaciones de la empresa.
Consecuencias reputacionales
Si una empresa sufre un incidente de ciberseguridad debido al incumplimiento de la normativa NIS2 puede perder la confianza por parte de clientes, socios y proveedores. Además, dependiendo de la gravedad, este tipo de incidentes pueden atraer el interés mediático, lo que amplifica el daño reputacional y a la imagen pública de la empresa.
Cómo empezar a prepararse: pasos para cumplir con la NIS2.
La normativa NIS2 fue aprobada en noviembre de 2022 y entró en vigor en enero de 2023, dando de margen hasta el 18 de octubre de 2024 para su cumplimiento obligatorio. Sin embargo, aún son muchas las organizaciones que tienen dudas y no saben cuál debería ser su punto de partida. A continuación, vamos a proporcionar una serie de pasos que creemos que pueden servir como guía para facilitar esta transición a las empresas.
Paso 1: evaluación de riesgos
Realizar una evaluación de riesgos y auditoría de seguridad proporciona información a las empresas que les ayuda a identificar:
- Los activos críticos y esenciales para que la empresa pueda operar
- Posibles debilidades y vulnerabilidades en los sistemas y redes
- Amenazas potenciales, tanto internas como externas, que pueden afectar a los activos críticos
Paso 2: crear una hoja de ruta
Una vez realizada la evaluación de riesgos y auditorías de seguridad necesarias para identificar los puntos débiles y los problemas que debemos solventar, es importante crear un plan de acción donde se detalle qué acciones se van a llevar a cabo. Para establecer estas acciones se puede tener en cuenta la criticidad de estas, empezando por aquellas que son más importantes o que sabemos que su implantación llevará más tiempo.
Paso 3: establecer políticas de seguridad
Mejorar y adaptar las políticas y procedimientos de seguridad puede simplificar la forma en la que la empresa aborda la gestión de riesgos o la respuesta a posibles incidentes.
Paso 4: implementar tecnologías y soluciones avanzadas de ciberseguridad
Contar con un sistema de ciberseguridad avanzado permitirá:
- Contar con controles de acceso estrictos que garanticen el acceso a los sistemas y datos críticos únicamente del personal autorizado.
- Implementar sistemas de monitoreo continuo que faciliten la detección y la respuesta rápida ante actividades sospechosas.
- Asegurar la integridad y confidencialidad de la información mediante el uso de sistemas de cifrado u otras tecnologías de protección de datos, a la vez que la información se encuentra disponible.
Paso 5: crear plan de respuesta a incidentes
Teniendo en cuenta la normativa NIS2, uno de los puntos clave es la capacidad que deben tener las empresas para responder y gestionar incidentes de seguridad de forma rápida y eficiente. Por ello, es fundamental establecer un plan de respuesta a incidentes que ayude a minimizar el impacto de los ciberataques y garantizar la continuidad del negocio. Este plan puede incluir:
- Sistemas de monitoreo utilizados para la identificación temprana de amenazas.
- Escalado interno y personas intervinientes en el proceso de reporte de incidentes dentro de la organización.
- Qué acciones se van a llevar a cabo para contener el impacto del ataque y eliminar la amenaza.
- Proceso para restablecer los sistemas que se hayan visto comprometidos.
- Plantillas de documentación que se utilizarán para realizar un análisis detallado una vez haya pasado el incidente. Puede incluir la causa del incidente, lecciones aprendidas o ajustes necesarios.
- Notificación a las autoridades, que debe realizarse sin demora indebida dentro de las 24 horas siguientes a la detección del incidente, y debe incluir información detallada sobre la naturaleza del incidente, su impacto, las medidas adoptadas y cualquier otra información relevante.
Paso 6: formación y concienciación al personal
Crea un plan de formación continua a los empleados sobre mejores prácticas de ciberseguridad, requisitos específicos de la NIS2 o casos reales de ciberataques. Esto es especialmente importante para los directivos, pues para la NIS2 es obligación para las empresas formarlos e involucrarlos en la gestión de riesgos.
¿Necesitas ayuda?
DataBytes está aquí para ayudarte a navegar por estos cambios y asegurarte de que tu empresa esté preparada para cumplir con la Directiva NIS2. No dudes en contactarnos si tienes alguna pregunta o necesitas asistencia.
18 de noviembre de 2024