2024 . SEP. . 17
Ante la inminencia de un nuevo y exigente marco legal, del cual NIS 2 es solo una pieza, las organizaciones deben comenzar a prepararse para esta nueva realidad.
Las nuevas medidas de la Directiva NIS 2 (Directiva de Redes y Sistemas de Información) suponen un avance significativo en la regulación de la ciberseguridad dentro de la Unión Europea. Centradas en fortalecer la ciberresiliencia de infraestructuras críticas y servicios esenciales, estas medidas tienen importantes implicaciones para las organizaciones públicas, incluidos los ayuntamientos, y las empresas público-privadas que operan en el mercado nacional.
Directrices NIS 2
NIS 2, vigentes desde el 16 de enero , 2023 y que se transpondrá al ordenamiento jurídico nacional antes del 17 de octubre de 2024, cubre varios sectores y refuerza las obligaciones de seguridad de la información, buscando ofrecer una respuesta coherente y complementaria a los riesgos actuales y futuros, que van desde los ciberataques hasta la delincuencia y los desastres naturales. NIS 2 establece un conjunto de requisitos estrictos que las organizaciones deben seguir para garantizar la seguridad de sus redes y sistemas de información.
Entre las principales directrices destacan las siguientes:
a)
Reforzamiento de la seguridad de las redes y sistemas de información: Implantación de medidas de seguridad adecuadas y proporcionadas a los riesgos.
b)
Gestión de incidentes: Establecimiento de procedimientos eficaces para la gestión y notificación de incidentes.
c)
Gestión de riesgos: Adopción de enfoques de ciberseguridad basados en riesgos.
d)
Cooperación e intercambio de información: Fortalecer la cooperación entre los Estados miembros y promover el intercambio de información sobre ciberamenazas.
Áreas del sector de mayor presión
NIS 2 se centra en la gestión de riesgos, gobernanza y rendición de cuentas de la Administración, exigiendo a las entidades la adopción de metodologías rigurosas de gestión de riesgos de ciberseguridad. Esto incluye el desarrollo de políticas de análisis y gestión de riesgos, manejo y notificación de incidentes, continuidad de actividades, procedimientos de evaluación de la efectividad de las medidas y capacitación. También es necesario que las entidades integren los riesgos y obligaciones de ciberseguridad en sus relaciones con los proveedores.
Con el refuerzo de las competencias de supervisión y el marco sancionador, que prevé multas de hasta
10.000.000 EUR o el
2% del volumen de negocios global, dependiendo del valor superior, la anticipación se vuelve esencial y crucial.
La Directiva NIS 2 pone especial atención en determinados sectores considerados críticos, donde la implementación de las nuevas medidas será más rigurosa. Estos sectores incluyen:
• Energía
• Transporte
• Salud
• Financiero
• Agua
• Infraestructuras digitales
El impacto en las organizaciones públicas
Para las organizaciones públicas, implementar NIS 2 implica reevaluar y fortalecer sus estrategias de ciberseguridad. Esto puede implicar:
a)
Auditorías de seguridad: revisar y actualizar las políticas y prácticas de seguridad existentes.
b)
Formación del personal: Formación continua para incrementar la competencia de los profesionales TI en ciberseguridad.
c)
Inversión en Tecnología: Adquisición de nuevas herramientas y tecnologías para mejorar la seguridad de las redes y sistemas de información.
d)
Asociaciones Estratégicas: Colaboración con proveedores especializados para garantizar el cumplimiento y robustez de las soluciones de seguridad.
La Directiva refuerza algunas de las medidas ya previstas en el
Decreto-Lei n.º 65/2021, en particular en lo que respecta al análisis de riesgos y la gestión de incidentes, e incluye de forma más precisa un conjunto mínimo de temas que. deben ser abordados por las organizaciones. Según la Ordenanza NIS 2, las entidades deben, como mínimo, abordar:
• Análisis de riesgos y seguridad;
• Manejo de incidentes;
• Continuidad de las actividades;
• Seguridad de la cadena de suministro;
• Seguridad en la adquisición, desarrollo y mantenimiento;
• Evaluación de la eficacia de las medidas de gestión de riesgos de ciberseguridad;
• Prácticas básicas de higiene cibernética y capacitación en seguridad cibernética;
• Criptografía y, en su caso, cifrado;
• Seguridad de los recursos humanos; y
• Uso de soluciones de autenticación multifactor o autenticación continua (
MFA).
Para garantizar la ciberseguridad de su organización, deberá asegurarse de poder demostrar lo siguiente:
•
Gestión de riesgos: Identifique y mitigue riesgos, incluidos errores humanos, fallas del sistema, ataques maliciosos y desastres naturales, así como la seguridad física y ambiental.
•
Responsabilidad corporativa: Responsabilidad de la alta dirección por las no conformidades identificadas respecto de la adopción de medidas de gestión de riesgos de ciberseguridad y la obligación de capacitación y calificación en el área.
•
Obligaciones de informar: Las empresas deben estar preparadas para informar incidentes de seguridad de manera rápida y efectiva.
•
Continuidad de las actividades: Debe haber planes para mantener operativos los servicios vitales en caso de incidentes importantes, incluida la recuperación de sistemas y la gestión de crisis.
Propuesta de valor de Decsis
Decsis es una empresa especializada en soluciones de ciberseguridad, ofreciendo un portafolio integral adaptable a cada organización y a los diferentes presupuestos disponibles. Nuestro objetivo es proporcionar a organismos públicos y privados un servicio profesional que cumpla con las exigencias impuestas por NIS 2. Con Decsis garantizas la protección necesaria para afrontar los desafíos actuales de ciberseguridad sin dejar de cumplir con las nuevas regulaciones.
Nuestras soluciones abordan el componente tecnológico y procesal, ayudando a determinar los riesgos y vulnerabilidades en estos dos aspectos y proponiendo el camino para su resolución y cumplimiento, considerando las mejores prácticas en seguridad de la información y los requisitos y estándares que aplican.
Para obtener más información sobre cómo podemos ayudar a su organización, contáctenos:
consultoria@decsis.pt#Ciberseguridad #NIS2 #SeguridadDigital #OrganizacionesPúblicas #Compliance #InfraestructuraCrítica #GestiónDeRiesgos #ServiciosEsenciales #Decsis