NIS2 está a la vuelta de la esquina

8. Febrero 2024
| No hay comentarios
NIS2 está a la vuelta de la esquina

Compartir publicación

En unos meses, numerosas empresas deberán implementar la directiva NIS2. La nueva directiva de la UE exige la implementación de medidas estrictas para garantizar la ciberseguridad.

A primera vista, este período de tiempo puede parecer bastante largo, pero la construcción de una estructura de seguridad adecuada no se logra de la noche a la mañana. NTT Ltd., una empresa líder en infraestructura y servicios de TI, aclara conceptos erróneos en torno a la Directiva NIS2 y muestra la mejor manera de implementarla. ​La Directiva NIS2 es una legislación de seguridad de la información y de redes a nivel de la UE que entró en vigor el 16 de enero de 2023 y debe ser transpuesta a la legislación nacional por los estados miembros antes del 17 de octubre de 2024. En Alemania ya existe un proyecto de ley del Ministerio Federal del Interior sobre la Ley de Implementación del NIS 2 (NIS2UmsuCG). La nueva directiva aumentará enormemente el número de empresas afectadas en este país: entre 30.000 y 40.000 empresas estarán sujetas a los requisitos más estrictos de NIS2. Sin embargo, muchos de ellos probablemente ni siquiera sean conscientes de ello, a pesar de que existen severas sanciones por incumplimiento.

Preguntas urgentes

¿Estoy sujeto a la directiva NIS2? Las autoridades no dicen a una empresa si los nuevos requisitos se aplican o no. Más bien, las empresas deben determinar ellas mismas su “afecto” basándose en los criterios definidos. En principio, todo aquel que esté clasificado como operador de infraestructuras críticas está sujeto a esta directiva. Estos incluyen instalaciones, sistemas y sistemas cuya funcionalidad es importante para la sociedad, la seguridad del país y la economía y cuyo fallo provocaría perturbaciones importantes. Según la Oficina Federal de Protección Civil, se trata de empresas de los sectores de suministro de energía y agua, telecomunicaciones y tecnologías de la información, suministro de alimentos, transporte y logística, finanzas y atención sanitaria. Al mismo tiempo, la Directiva NIS2 también afecta a las organizaciones de la cadena de suministro que proporcionan servicios o productos relacionados con sectores críticos. Esto significa que el alcance va mucho más allá de las empresas clave conocidas hasta ahora. En el futuro, en los respectivos sectores se registrarán empresas y organizaciones con 50 o más empleados y una facturación anual de al menos diez millones de euros. Específicamente, NIS2 distingue entre instalaciones “importantes” y “esenciales”. Estos últimos desempeñan un papel crucial debido a su cuota de mercado en el sector respectivo.

Reglamento de la directiva NIS2

La UE ha endurecido los requisitos en tres áreas clave: medidas de supervisión y multas, cooperación y cooperación, y gestión de riesgos y resiliencia. Las crecientes exigencias en materia de gestión de riesgos y resiliencia significan que las organizaciones deben implementar medidas tanto de prevención como de minimización de daños. Esto incluye áreas como seguridad de redes, gestión de riesgos, ciberseguridad en cadenas de suministro, control de acceso y cifrado. NIS2 proporciona higiene básica de TI y el proyecto de ley estipula la detección de ataques para instalaciones críticas. Las empresas también deberían pensar en cómo garantizar la continuidad del negocio después de un ciberataque. Esto incluye la recuperación del sistema, procedimientos de emergencia y el establecimiento de una organización de crisis. Además, las autoridades responsables deben recibir un informe inicial como alerta temprana dentro de las 24 horas siguientes a tener conocimiento del incidente de seguridad. En un plazo de 72 horas deberá presentarse un informe detallado que describa los llamados indicadores de compromiso. Las empresas deberían utilizar primero un enfoque de arriba hacia abajo para determinar un estado actual holístico del nivel de madurez de su seguridad de TI y luego implementar medidas técnicas y organizativas según sea necesario. Para cumplir con la directriz NIS2, también se recomienda implementar un sistema de gestión de seguridad de la información (SGSI) según ISO 27001. Al mismo tiempo, tiene sentido un centro de operaciones de seguridad (SOC). Sin embargo, operar un SOC es muy costoso, por lo que subcontratarlo a un proveedor de servicios externo en forma de servicios gestionados es una buena solución.

¿Qué pasa si no cumples?

Aunque solo se auditan las instalaciones esenciales, cualquiera que ignore los requisitos corre el riesgo de recibir sanciones importantes en caso de un incidente de seguridad. Para las empresas clasificadas en la categoría "esencial", las multas pueden ascender a diez millones de euros o el dos por ciento de la facturación global anual, lo que sea mayor. Para las instituciones "importantes", la multa máxima es de siete millones de euros o el 1,4 por ciento de la facturación anual global. El proyecto de ley del Ministerio Federal del Interior también establece que los directores generales y otros órganos de dirección de las empresas son responsables con su patrimonio privado del cumplimiento de las medidas de gestión de riesgos. También se enfrenta a una multa del dos por ciento de su facturación anual global. Por lo tanto, NIS2 es un riesgo de cumplimiento que los responsables deberían tomar muy en serio. Además, una solución de seguridad deficiente o inexistente cuesta en última instancia mucho más, incluso si la inversión en medidas adecuadas puede parecer inicialmente elevada para algunas empresas. Al igual que con otras directrices, también existe una alta probabilidad de que las empresas que no hayan implementado las medidas requeridas no sean consideradas en las licitaciones públicas.

“El cumplimiento de NIS2 no es un producto que se pueda comprar e implementar simplemente. Al contrario: las empresas deben comprender que la implementación de la nueva directiva de la UE es un proyecto verdaderamente extenso y a largo plazo con impactos en una amplia variedad de áreas. Al mismo tiempo, el cumplimiento de las normas de TI ha sido durante mucho tiempo una cuestión estratégica clave para las empresas”, explica Bernhard Kretschmer, vicepresidente de servicios y ciberseguridad de NTT Ltd. “Sin embargo, la práctica demuestra que muchas empresas todavía no han tomado las medidas necesarias. Esto podría convertirse en un obstáculo para la implementación oportuna de NIS2. Porque muy pocas empresas son capaces de cumplir los requisitos requeridos con su propio equipo de TI”.

Más en NTT

 

Acerca de NTT

Como parte de NTT DATA, un proveedor de servicios de TI de 30 mil millones de dólares, la empresa de servicios e infraestructura de TI NTT Ltd. Con sus tecnologías, el 65 por ciento de Fortune Global 500 y más del 75 por ciento de Fortune Global 100. La compañía está sentando las bases para el ecosistema de redes de borde a nube de las organizaciones, simplificando cargas de trabajo complejas de múltiples nubes e innovando en el borde. los entornos de TI donde convergen la red, la nube y las aplicaciones. NTT ofrece infraestructuras personalizadas y garantiza mejores prácticas consistentes en diseño y operaciones en sus centros de datos seguros, escalables y adaptables. En el camino hacia un futuro definido por software, NTT apoya a sus clientes con servicios de infraestructura basados ​​en plataformas.

Artículos relacionados con el tema

Plataforma de ciberseguridad con protección para entornos 5G

Trend Micro, especialista en ciberseguridad, presenta su enfoque basado en plataformas para proteger la superficie de ataque en constante expansión de las organizaciones, incluida la seguridad. ➡ Leer más

Manipulación de datos, el peligro subestimado

Cada año, el Día Mundial de la Copia de Seguridad, el 31 de marzo, sirve como recordatorio de la importancia de tener copias de seguridad actualizadas y de fácil acceso. ➡ Leer más

Las impresoras como riesgo de seguridad

Las flotas de impresoras corporativas se están convirtiendo cada vez más en un punto ciego y plantean enormes problemas para su eficiencia y seguridad. ➡ Leer más

La Ley de IA y sus consecuencias para la protección de datos

Con la AI Act, se aprobó la primera ley para la IA y otorga a los fabricantes de aplicaciones de IA entre seis meses y ➡ Leer más

Sistemas operativos Windows: casi dos millones de ordenadores en riesgo

Ya no hay actualizaciones para los sistemas operativos Windows 7 y 8. Esto significa abrir brechas de seguridad y, por lo tanto, valer la pena y ➡ Leer más

La IA en Enterprise Storage combate el ransomware en tiempo real

NetApp es uno de los primeros en integrar inteligencia artificial (IA) y aprendizaje automático (ML) directamente en el almacenamiento primario para combatir el ransomware. ➡ Leer más

Conjunto de productos DSPM para seguridad de datos Zero Trust

La gestión de la postura de seguridad de los datos (DSPM para abreviar) es crucial para que las empresas garanticen la resiliencia cibernética frente a la multitud. ➡ Leer más

Cifrado de datos: más seguridad en plataformas en la nube

Las plataformas en línea suelen ser blanco de ataques cibernéticos, como ocurrió recientemente con Trello. 5 consejos garantizan un cifrado de datos más eficaz en la nube ➡ Leer más

 

Noticias de prensa
, , , ,