Muchas empresas se ven afectadas por la nueva edición de la directiva NIS2 de la UE. Esto aumenta los requisitos mínimos para la ciberseguridad de las infraestructuras críticas. Las empresas deberían estar bien preparadas.
Los ciberataques a infraestructuras críticas son particularmente peligrosos. Por lo tanto, la UE definió requisitos mínimos de ciberseguridad en la Directiva sobre seguridad de las redes y la información (NIS) en 2016. Ahora está siendo reemplazado por una nueva edición. La directiva NIS16 está en vigor desde el 2023 de enero de 2 y los estados miembros de la UE todavía tienen hasta octubre de 2024 para incorporarla a su legislación nacional. En Alemania, esto se hace a través de la Ley de Implementación NIS2, que actualmente está disponible como un segundo borrador. Es de esperar que se produzcan cambios en la Ley de seguridad informática y en el Reglamento KRITIS. Muchas empresas se preguntan ahora qué significa NIS2 para ellas.
¿Qué necesitan saber los responsables de seguridad ahora y cómo pueden prepararse mejor? Dirk Wocke, responsable de cumplimiento y responsable de protección de datos de indevis, responde a las preguntas más importantes.
¿A quién afecta NIS2?
La diferencia más importante con la antigua legislación es el aumento significativo de la eficiencia. Se están añadiendo siete nuevos sectores KRITIS, aumentando el número de once a dieciocho. Mientras que hasta ahora sólo se han visto afectadas las grandes organizaciones del entorno directo de KRITIS, NIS2 también se aplica a empresas privadas, incluso aquellas con un tamaño de 50 empleados o una facturación anual de 10 millones de euros. Algunas empresas, independientemente de su tamaño, están cubiertas por la directiva porque se encuentran entre las llamadas “entidades esenciales” que son particularmente importantes para el bien común.
Lo que también es nuevo es que las empresas afectadas deberán comprobar y garantizar la ciberseguridad de sus proveedores. Esto es importante porque las cadenas de suministro se están volviendo cada vez más complejas e incluso la falla de un pequeño componente puede provocar cuellos de botella críticos. El hackeo de Solarwinds, por ejemplo, mostró cuán peligrosos pueden ser los ataques a la cadena de suministro. En definitiva, NIS2 afecta a una amplia gama de empresas, muchas de las cuales sólo a segunda vista se dan cuenta de que están afectadas.
¿Qué novedades trae NIS2?
La nueva directiva aumenta los requisitos mínimos de ciberseguridad y responsabiliza a los directivos. Usted es responsable de garantizar que se cumplan las normas prescritas. Si se produce un ciberataque, se aplican requisitos estrictos de presentación de informes, similares al RGPD. Luego, las empresas deben informar el incidente a la BSI dentro de un período de tiempo determinado. De este modo, el legislador quiere evitar que los afectados encubran un ciberataque para proteger su reputación. NIS2 también agudiza la jurisprudencia europea y profundiza la supervisión y la cooperación en la UE entre autoridades y operadores. Por ejemplo, deberían crearse equipos nacionales de respuesta a emergencias informáticas que cooperen a través de fronteras e intercambien información. Al mismo tiempo, se creará una base de datos sobre vulnerabilidades a nivel de la UE.
¿Qué deberían hacer ahora las empresas afectadas?
NIS2 prescribe medidas de seguridad técnicas y organizativas de última generación. Esto incluye, por ejemplo, una metodología para evaluar los riesgos cibernéticos y una estrategia para garantizar la continuidad del servicio y del negocio. También son obligatorias medidas para prevenir, detectar y gestionar incidentes cibernéticos. Básicamente, se trata de construir un sistema de gestión de seguridad de la información (SGSI). Este define reglas, procesos, métodos, herramientas y responsabilidades para gestionar y controlar la ciberseguridad en la empresa.
Por ejemplo, sirven de orientación los BSI Grundschutz y la ISO/IEC 27001. Hasta ahora, la mayoría de las empresas sólo han establecido las piezas del rompecabezas de un SGSI. En primer lugar, es importante identificar las brechas y luego cerrarlas paso a paso. Es necesario cubrir numerosos roles y definir políticas. Todo esto suele ser más complejo de lo esperado y lleva tiempo. Por tanto, es aconsejable abordar el problema lo antes posible. Un proveedor de servicios externo que tenga experiencia en la introducción y desarrollo de un SGSI puede brindar apoyo con asesoramiento y apoyo.
¿Qué sucede cuando las empresas ignoran los requisitos NIS2?
Al igual que el RGPD, el legislador refuerza sus requisitos imponiendo multas elevadas por infracciones. Las sanciones y las acciones coercitivas se ampliarán significativamente, hasta alcanzar penas máximas de al menos siete o diez millones de euros, según el sector. Para comprobar el cumplimiento de los requisitos NIS2, la BSI puede realizar auditorías o encargarlas a terceros. Si se descubren deficiencias, las empresas afectadas tienen un plazo para realizar mejoras. Por último, pero no menos importante, los directores generales son personalmente responsables si la investigación forense de un incidente cibernético revela que la empresa no ha respetado los requisitos de seguridad.
NIS2 como una oportunidad
Cualquiera que ya haya sido asignado al área KRITIS probablemente ya haya implementado mucho de lo que requiere NIS2. Para las nuevas empresas, el esfuerzo es mayor. Por tanto, es aconsejable empezar lo antes posible. Incluso si NIS2 inicialmente requiere trabajo, la inversión vale la pena. Aumentar la ciberseguridad es esencial dada la creciente situación de amenazas.
En la práctica, los responsables de la seguridad suelen tener dificultades para liberar presupuesto para medidas de seguridad. Por lo tanto, es necesaria la presión de los requisitos legales. NIS2 ahora sitúa la cuestión de la ciberseguridad en la cima del nivel de gestión, allanando el camino para el cambio. En el futuro, a los gerentes de seguridad debería resultarles más fácil convencer a los directores ejecutivos para que inviertan más en ciberseguridad. Para lograr el cumplimiento de NIS2 de la manera más rápida y eficiente posible, recomendamos trabajar con un proveedor de servicios de seguridad administrados con experiencia. Puede ayudar a revisar la estrategia de seguridad, configurar un SGSI y seleccionar y operar la tecnología de seguridad adecuada.
Más información en Indevis.de
Acerca de Indivis
Certificada según la norma internacional ISO/IEC 27001, indevis GmbH es uno de los principales proveedores de servicios de seguridad gestionados (MSSP) de Alemania. La empresa lleva más de 20 años estableciendo estándares de seguridad en tecnología de la información y ofrece a clientes de todos los tamaños e industrias soluciones de seguridad de TI adecuadas para redes, centros de datos y la nube.