NIS2 – Un esfuerzo fácil de un par de días, he oído decir. Sin embargo, puede que no sea así y requiera un enfoque un poco más integral. Especialmente en organizaciones donde la seguridad de la información administrativa quizás haya quedado un poco relegada anteriormente. La directiva NIS2 de la UE entra en vigor en octubre de este año. Ahora, a más tardar, las organizaciones deben examinar el asunto más detenidamente.
¿Qué es NIS2?
La directiva de seguridad de redes y sistemas de información de la Unión Europea, NIS2, entra en vigor en octubre de este año. NIS2 es una versión ampliada y actualizada de la anterior directiva NIS de la UE que entró en vigor en 2016. El propósito de la directiva es mejorar las capacidades de los Estados miembros para combatir las amenazas cibernéticas y unificar el nivel de ciberseguridad entre los Estados miembros. NIS2 se dirige a sectores críticos de la sociedad, como por ejemplo la atención sanitaria, la energía, el transporte, las finanzas, la administración pública y el sector TIC. La directiva establece requisitos mínimos para las organizaciones en cuanto al nivel de seguridad de la información. Las organizaciones deben ser capaces de demostrar el cumplimiento de estos requisitos mínimos cuando sea necesario.
Personalmente, considero que la llegada de la directiva es genuinamente positiva y bienvenida. Cubre una gama bastante amplia de diferentes áreas de seguridad de la información y proporciona una buena base para seguir desarrollando la seguridad de la información. La responsabilidad de las obligaciones de la directiva NIS2 también recae fuera de los departamentos de TI de las organizaciones. A más tardar ahora, la brecha entre el departamento de TI y la dirección en asuntos de seguridad de la información desaparece, ya que las obligaciones del marco se extienden hasta el nivel directivo. En segundo lugar, destacaría la introducción general del aspecto de seguridad de la información administrativa en las organizaciones. Especialmente en las pequeñas y medianas empresas, a menudo se realizan mejoras de seguridad de la información a nivel técnico, lo cual no está mal, pero puede que no se haya considerado la imagen general con una estrategia de seguridad de la información. La organización debería considerar respuestas a preguntas como: ¿A qué propósito aspiramos y respondemos con cambios técnicos? ¿Qué requisitos nos imponen las diferentes partes interesadas? ¿Qué marco de seguridad de la información seguimos?
¿Todo claro respecto a la directiva?
Parece haber cierta confusión sobre si la directiva NIS2 se aplica específicamente a nuestra organización o no. Los sectores se han indicado a un nivel bastante alto, y se han solicitado aclaraciones para al menos algunas áreas. Hay margen de interpretación en ciertas áreas, para las que esperamos recibir más aclaraciones. Sin embargo, es importante tener en cuenta que, aunque una organización no esté directamente dentro del ámbito de la directiva NIS2, puede tener que demostrar su nivel de seguridad de la información a una organización que sí lo esté, como parte de la cadena de suministro.
Una de las áreas de la directiva NIS2 es la gestión de socios, que incluye la verificación del nivel de seguridad de la información de los socios. En general, como contexto, NIS2 se aplica a organizaciones de sectores críticos para la sociedad con más de 50 empleados o cuya facturación anual y balance superen los 10 millones de euros. Los sectores a los que se aplica la directiva se han dividido en sectores esenciales (muy críticos) y sectores importantes (críticos). No hay diferencia en cuanto a los requisitos entre estos dos, pero las sanciones por incumplimiento de la directiva son un poco más severas para los actores de los sectores esenciales.
Sectores esenciales
-
- Energía
- Transporte
- Finanzas
- Sanidad
- Agua
- TI
- Administración pública
- Espacio
Sectores importantes
- Correos
- Gestión de residuos
- Químicos
- Alimentación
- Industria manufacturera
- Servicios digitales
- Investigación
NIS2 - áreas de seguridad de la información
NIS2 consta de trece áreas diferentes de seguridad de la información, para las cuales se han establecido requisitos mínimos. Los temas principales pueden considerarse administrativos, técnicos y centrados en las personas. La sección administrativa incluye, entre otros, la definición y documentación de los objetivos de seguridad de la información, la realización de revisiones por parte de la dirección y el compromiso con la gestión de la seguridad de la información. Además, en el lado administrativo, se enfatiza la obligación de informar sobre incidentes de seguridad de la información a las autoridades dentro de ciertos plazos. Los requisitos técnicos incluyen, entre otros, las medidas necesarias para el registro de sistemas y la detección de incidentes de seguridad de la información, así como la implementación de soluciones de respaldo de sistemas relacionadas con la gestión de la continuidad. Como ejemplo del tema centrado en las personas, se pueden mencionar las formaciones regulares en seguridad de la información para los empleados de la organización. Por supuesto, hay muchas más áreas temáticas además de las mencionadas anteriormente. En resumen, se puede decir que se trata de un conjunto bastante completo.
¿Cómo se puede empezar con NIS2?
Con respecto a NIS2, es recomendable comenzar realizando un análisis de brechas (GAP), que proporciona una idea del estado actual de la seguridad de la información, qué aspectos deben abordarse y qué cosas ya se han hecho bien en la organización. Recomiendo encarecidamente el uso de un sistema de gestión de seguridad de la información como ayuda, uno que respalde el marco de la directiva NIS2. Un excelente producto que se puede mencionar es el
¿Por qué en Above IT empezamos a prepararnos para NIS2?
Above IT quizás no esté directamente dentro del ámbito de la directiva NIS2. Pero por nuestra parte, interpretamos que todas las empresas del sector TI deberían, en la práctica, cumplir con los requisitos de NIS2. Por ejemplo, los clientes más grandes y de sectores críticos para la sociedad en nuestro grupo objetivo es muy probable que puedan imponernos requisitos en su cadena de suministro. También era obvio para nosotros que queremos asegurar y, si es necesario, demostrar que nuestras prácticas y los servicios que ofrecemos están en línea con estos requisitos. Además, NIS2 nos proporcionó una buena base para empezar a trabajar en los requisitos del marco de seguridad de la información ISO27001 en un futuro próximo.
Palabras finales
El mundo no está de ninguna manera completo en términos de seguridad de la información, aunque se cumplan los requisitos de NIS2 en las organizaciones, pero proporciona una base muy buena para la gestión de amenazas cibernéticas. En mi opinión, cada organización debería cumplir con estos requisitos mínimos, ya sea que el requisito se aplique oficialmente a la organización o no. Por experiencia, puedo decir que incluso como ejercicio, la realización de un análisis de brechas según el marco NIS2 ayuda a proporcionar una visibilidad integral del estado actual de la seguridad de la información.
El jueves 22 de agosto a las 09:00 realizamos un webinar donde se trató el tema más ampliamente, así como cómo se debe considerar la directiva con respecto al servicio Microsoft 365.
Vea la grabación del webinar aquí: Webinar: Microsoft 365 y requisitos NIS2 – ABOVE IT
Above IT es un socio y recurso para los departamentos de TI. En el campo de la seguridad de la información administrativa, construimos un puente sobre la brecha entre la dirección de la organización y el departamento de TI. Como nuestro cliente, obtendrá experiencia genuina en el desarrollo de la seguridad de la información y la protección de datos, ¡así como apoyo y seguridad para los tumultos del mundo! Si desea dar un paso por encima de la TI con nosotros, ¡contáctenos haciendo clic en el enlace de abajo!