Se decidió NIS2 y los países de la UE deben transponer la directiva a la legislación nacional para octubre de 2024, y las empresas, por supuesto, deben prepararse. NIS2 es el marco europeo para operadores de infraestructuras críticas y define los estándares mínimos de ciberseguridad en la UE.
La Unión Europea (UE) ha adoptado la Directiva NIS2, que es parte de la estrategia de la UE para dar forma al futuro digital de Europa en el campo de la seguridad de TI y es una extensión directa de la Directiva NIS de 2016, que fue la primera ley de seguridad de TI en nivel de la UE.
Fondo para NIS2
El trasfondo de la nueva directiva es un panorama dinámico de amenazas que afecta cada vez más a las redes corporativas y el reconocimiento de que la primera directiva NIS se implementó de manera diferente en los estados miembros individuales de la UE. Por lo tanto, la UE quiere crear un enfoque más unificado para proteger los sectores y las cadenas de suministro que afectan a las infraestructuras críticas (KRITIS), ya que un ciberataque a gran escala podría tener un gran impacto en la economía de cada Estado miembro individual, pero también en el resto. de la Unión Por ejemplo, si la empresa nacional de servicios públicos de un país se desconecta durante un período corto o largo, los precios de la electricidad aumentarán y, dado que la electricidad se negocia en una bolsa europea, los precios aumentarán en toda Europa.
Qué esperar de los estados miembros
A diferencia de la directiva GDPR, que protege los datos personales de los ciudadanos, la directiva NIS2 tiene como objetivo proteger los datos económicos. Como parte de la nueva legislación, los estados miembros deben, entre otras cosas, redactar una estrategia nacional de seguridad informática y una ley nacional. Esto tiene como objetivo establecer requisitos para la gestión de riesgos y la presentación de informes por parte de las empresas que se rigen por la directiva NIS2. Además, se establecerá un punto de contacto a nivel nacional.
Instituciones Afectadas
Además de los sectores ya incluidos en la Directiva NIS, la nueva NIS2 cubre, entre otros, la industria alimentaria, las empresas de transporte y transporte marítimo, los proveedores de datos y telecomunicaciones, las plataformas de redes sociales y los proveedores de centros de datos, así como las empresas activas en gestión de residuos y aguas residuales, así como empresas manufactureras que son importantes para la economía del país.
Las empresas cubiertas por la directiva se dividen en dos categorías: empresas esenciales (por ejemplo, empresas de telecomunicaciones, servicios públicos y bancos) y empresas importantes (por ejemplo, empresas de alimentos y empresas de transporte). Sin embargo, las empresas con menos de 250 empleados o una facturación anual inferior a 50 millones de euros están exentas de la directiva. Sin embargo, debido al concepto de responsabilidad de la cadena de suministro, se espera que las empresas más pequeñas que son proveedores de los sectores cubiertos por la Directiva también deban cumplir con NIS2. La directiva también se extiende a las administraciones públicas, pero actualmente no está claro si esto se aplica a los municipios, por ejemplo.
Qué esperar de las empresas
NIS2 impone nuevas exigencias a las empresas y organizaciones en cuestión. Esto incluye la experiencia y la responsabilidad de la alta gerencia, la gestión eficaz de riesgos, incluido el análisis de riesgos y la respuesta a incidentes, y la notificación y el manejo de incidentes cibernéticos. Por lo tanto, la gerencia es responsable del cumplimiento de la guía NIS2 por parte de la empresa y puede ser responsable si no lo hace. La propia empresa u organización debe cumplir con varios requisitos de seguridad de TI, incluida la implementación de medidas de seguridad y estándares internacionales como ISO27001 o el marco NIST.
Las empresas que no cumplan con la directiva NIS2 pueden recibir multas de hasta 2 millones de euros o el XNUMX por ciento de los ingresos anuales globales totales. Es importante tener en cuenta que, al igual que con la directiva GDPR, no habrá una etiqueta o lista NISXNUMX a la que las empresas deban adherirse. Corresponde a la propia organización tomar medidas para asegurar el cumplimiento de la normativa de protección de datos. Entonces, si bien los proveedores de seguridad pueden ayudar, depende de la organización configurar los informes necesarios.
fecha límite para la implementación
A fines de diciembre de 2022, se aprobó y oficializó la directiva NIS2 en la UE. Después de eso, los estados miembros tienen 21 meses para convertir la directiva en ley nacional. Sin embargo, eso no significa que las empresas puedan esperar hasta entonces para implementar las nuevas medidas. Después de todo, las organizaciones afectadas por la directiva deben poder cumplirla 18 meses después de su adopción. Si bien esto puede parecer largo, sabemos por experiencia que a muchas empresas les puede llevar mucho tiempo introducir nuevas medidas, procedimientos, etc. Por lo tanto, es importante que todas las instituciones y empresas afectadas comiencen de inmediato.
Consejos para empezar
Como se mencionó, la Directiva NIS2 no proporciona una lista de verificación o requisitos mínimos de tecnología de protección. Describe cómo es un nivel adecuado de protección, que puede interpretarse de diferentes maneras. Sin embargo, es razonable suponer que las organizaciones requerirán, como mínimo, tecnologías de cortafuegos y de prevención de intrusiones en su red, así como seguridad de punto final y la implementación de autenticación multifactor, cifrado de datos y acceso restringido.
Sin embargo, es importante mencionar que no todo se puede solucionar con tecnología. El proceso y la tecnología son igualmente importantes. Esto significa que las empresas deben hacer un balance y crear un plan, en lugar de buscar una solución rápida. Con eso en mente, hay algunos primeros pasos que puede tomar. En primer lugar, es importante comprobar si su propia empresa está sujeta a la nueva directiva. Si este es el caso, se deben considerar los siguientes aspectos:
- Asegúrese de que la seguridad de TI sea una prioridad de la alta dirección y que los gerentes sean conscientes de sus responsabilidades. Comience por analizar las necesidades de su empresa y cree una hoja de ruta con objetivos claros y un cronograma para la implementación.
- Identifique y priorice sus activos, incluida la información, los procesos y los sistemas.
- Diseñe un marco para construir su seguridad. Esto podría ser ISO2001 o NIST. También es importante que implemente la gestión de riesgos para sus activos y procesos.
- Automatice tantos procesos y rutinas como sea posible. Por ejemplo, la seguridad de TI siempre debe ser parte de los nuevos sistemas y lanzamientos de la nube en el futuro.
- Consolide sus funciones y soluciones de seguridad. Esto hace que la operación sea más fácil y segura y reduce los costos de personal, entre otras cosas.
- Establezca un proceso de informes que cumpla con los requisitos de NIS2 y asegúrese de que pueda usarse para mitigar ataques y amenazas.
Muchas organizaciones ya han implementado algunas medidas, ya que tenían que cumplir con los requisitos NIS originales. Sin embargo, otras organizaciones tienen que adaptarse a una realidad completamente nueva. Esta puede ser una tarea difícil y abrumadora, incluso abrumadora para algunos. Por esta razón, se recomienda a todos que se ocupen de los requisitos y las posibles medidas en una etapa temprana y que consulten a expertos.
Más en CheckPoint.com
Sobre el punto de control Check Point Software Technologies GmbH (www.checkpoint.com/de) es un proveedor líder de soluciones de ciberseguridad para administraciones públicas y empresas de todo el mundo. Las soluciones protegen a los clientes de los ataques cibernéticos con una tasa de detección de malware, ransomware y otros tipos de ataques líder en la industria. Check Point ofrece una arquitectura de seguridad de varias capas que protege la información corporativa en la nube, la red y los dispositivos móviles, y el sistema de administración de seguridad de "un punto de control" más completo e intuitivo. Check Point protege a más de 100.000 XNUMX empresas de todos los tamaños.