La importancia de la Directiva NIS2
NIS2 crea un conjunto estándar de requisitos de ciberseguridad para las organizaciones que prestan servicios esenciales o importantes a los Estados afiliados a la UE. De este modo, se reduce el riesgo de que los ciberataques contra estas organizaciones puedan tener repercusiones significativas para los ciudadanos de la UE.
Sectores afectados por la Directiva NIS2
La directiva NIS2 clasifica los sectores en entidades esenciales e importantes. Ejemplos de entidades esenciales (EE) incluyen:
- Energy
- Transporte
- Finanzas
- Administración pública
- Salud
- Espacio
- Abastecimiento de agua
- Infraestructura digital
La NIS2 también afecta a entidades importantes (EI), como:
- Servicios postales
- Gestión de residuos
- Productos químicos
- Investigación
- Víveres
- Fabricación
- Proveedores digitales
Además de los sectores, el cumplimiento de NIS2 también se ve afectado por el tamaño de la organización. En general, las EE deben tener al menos 250 empleados y una facturación anual superior a 50 millones de euros o un balance general de 43 millones de euros. Por lo general, las IE deben tener al menos 50 empleados y una facturación o balance anual de al menos 10 millones de euros. Sin embargo, estas reglas varían según el sector. Además, las compañías que son el único proveedor de un servicio en individuo dentro de un estado afiliado a la UE pueden clasificar como EE o IE, independientemente de su tamaño.
¿Cuáles son los requisitos de NIS2?
NIS2 crea cuatro conjuntos de requisitos organizacionales de alto nivel, entre los que se incluyen:
- Gestión de riesgos: Las organizaciones deben gestionar sus riesgos cibernéticos mediante la respuesta a incidentes, la seguridad de la cadena de suministro, la seguridad roja, el control de acceso y el uso de cifrado.
- Responsabilidad Corporativa: La dirección corporativa es responsable de la seguridad de la organización y debe desempeñar un papel activo e informado en la gestión de riesgos cibernéticos.
- Obligaciones de información: NIS2 define los requisitos de notificación de incidentes de seguridad significativos, incluida una "alerta temprana" de 24 horas.
- Continuidad del negocio: Las organizaciones afectadas deben contar con estrategias de continuidad del negocio, incluida la creación de planes de recuperación, procedimientos de emergencia y un equipo de respuesta a crisis.
Además, especifica un conjunto de diez requisitos mínimos, que incluyen:
- Realización de evaluaciones de riesgos e implementación de políticas de seguridad para los sistemas informáticos.
- Implantar políticas y procedimientos para el uso de la criptografía y el cifrado.
- Cerciorar y gestionar la vulnerabilidad en la adquisición de sistemas.
- Implementación de procedimientos de seguridad para los usuarios que pueden acceder a datos confidenciales.
- Emplear la autenticación de múltiples factores (MFA), la autenticación continua y las comunicaciones cifradas cuando proceda.
- Evaluar la eficacia de los controles de seguridad establecido.
- Planeación de la detección y respuesta a incidentes.
- Capacitar a los empleados en higiene informática básica.
- Planeación de la continuidad del negocio y la recuperación ante desastres (copias de seguridad, acceso continuo, etcétera).
- La seguridad de la cadena de suministro y cómo gestiona la compañía la vulnerabilidad potencial en las relaciones con terceros.
Sanciones por violaciones de NIS2
La NIS2 establece varios tipos de sanciones que pueden imponer a una organización por incumplimiento, entre las que se incluyen:
- Sanciones no monetarias: Las autoridades nacionales de supervisión están autorizadas a obligar a las organizaciones a cumplir con la normativa, seguir instrucciones vinculantes, llevar a cabo una auditoría de seguridad o notificar a sus clientes sobre una amenaza potencial.
- Multas administrativas: Las sanciones administrativas dependen del tipo de entidad. Los EE están sujetos a multas de 10 millones de euros o el 2% de los ingresos anuales globales, lo que sea mayor. Las IE pueden ser multadas con hasta 7 millones de euros o el 1,4% de los ingresos anuales globales.
- Sanciones penales: En caso de negligencia grave, NIS2 permite que el alta dirección sea personalmente responsable de los incidentes de seguridad. Esto incluye ordenar a la compañía que haga públicas las infracciones de cumplimiento, que declare públicamente qué infracción se produjo y quién es el culpable, e inhabilitar temporalmente a las personas para ocupar cargos directivos.
Cerciorar de que su compañía cumple el NIS2 con IGS
La Directiva SRI2 está diseñada para limitar el riesgo de que los ciberataques contra entidades esenciales e importantes dentro de la UE afecten a su capacidad para prestar servicios a los ciudadanos de la UE. Esta actualización de la NIS original amplía el alcance de la directiva, implementa requisitos actualizados y otorga a los reguladores el poder de imponer sanciones adicionales y más estrictas contra las organizaciones que no cumplan con sus requisitos.
Lograr el cumplimiento de la directiva NIS2 en los plazos del cuarto trimestre de 2024 es esencial para todas las organizaciones afectadas y requiere la implantación de un estable programa de ciberseguridad. Check Point ofrece apoyo a las compañías que intentan alcanzar este y otros objetivos de ciberseguridad a través de su programa Infinity Global Services.
La evaluación de preparación NIS2/DORA de Check Point implica una evaluación in situ por parte de consultores senior de Check Point del cumplimiento actual de una organización con la directiva NIS2. Basar en esta evaluación, Check Point proporciona orientación sobre cómo las organizaciones pueden cerrar el intervalo de seguridad identificado y lograr el cumplimiento de la norma. Si desea más información sobre cómo alcanzar sus objetivos de cumplimiento de NIS2 antes de la fecha límite, póngase en contacto con nosotros.
¿Está
Comentarios