DESCUENTO DE PRIMAVERA
Obtenga un 30% de descuento en paquetes de documentos, exámenes de cursos y planes anuales de Conformio.
Oferta por tiempo limitado – termina el 25 de mayo de 2024
Use el código de promoción:
SPRING30

Los 8 requisitos de ciberseguridad y las obligaciones de notificación más importantes en la NIS2

Actualizado el 6 de marzo de 2024 (transposición en los Estados miembros)

Si su compañía se está preparando para cumplir con la NIS 2 (SRI 2), seguramente se esté preguntando lo que tiene que hacer. Este artículo expone los requisitos más importantes de la NIS2 que debe cumplir, centrándose en el Capítulo IV, Medidas para la gestión de riesgos de ciberseguridad y obligaciones de notificación.

Los requisitos más importantes de la NIS2:
  1. Responsabilidades de los órganos de dirección
  2. Importancia de la formación
  3. Enfoque de ciberseguridad basado en los riesgos
  4. Ciberseguridad como una combinación de medidas técnicas, operativas y organizativas
  5. Seguridad de la cadena de suministros
  6. Notificación de incidentes significativos
  7. Uso de productos y servicios de TIC certificados
  8. Multas

Sorprendentemente, de 46 artículos de la Directiva NIS 2, solo los artículos 20 a 25 son realmente relevantes para las compañías (entidades esenciales e importantes) que deben cumplir con la NIS 2; la mayoría del resto de artículos establecen exigencias para las entidades gubernamentales que regulan la ciberseguridad.

Vea también: 15 pasos para la implementación de medidas para la gestión de riesgos de ciberseguridad en la NIS 2

Los requisitos más importantes se encuentran en el Capítulo IV y se articulan en torno a dos temas principales: la gestión de riesgos de ciberseguridad y las obligaciones de notificación. Fuera del Capítulo IV, solo hay unas pocas cuestiones relevantes para las entidades esenciales e importantes.

Aquí van los requisitos más importantes de la NIS 2 que usted debe tener en cuenta:

Los 8 requisitos de ciberseguridad y las obligaciones de notificación más importantes en la NIS2 - Advisera

1) Responsabilidades de los órganos de dirección

Según el artículo 20, los órganos de dirección de las entidades esenciales e importantes:

  • deben aprobar medidas de ciberseguridad que deban implementarse en la compañía,
  • deben supervisar su implementación y
  • pueden ser considerados responsables si la ciberseguridad no se implementa adecuadamente.

Los artículos 32 y 33 insisten aún más en la responsabilidad de los representantes legales de las entidades esenciales y las entidades importantes.

2) Importancia de la formación

Según el artículo 20, los miembros de los órganos de dirección deben formarse en materia de ciberseguridad y deben ofrecer este tipo de formación a sus empleados periódicamente.

La NIS 2 exige que esta formación abarque la identificación de riesgos, la evaluación de las prácticas de ciberseguridad y cómo estas medidas de ciberseguridad ayudan a la compañía a proporcionar sus servicios.

Haga clic aquí para ver 25 vídeos de conciencia sobre seguridad para formar a los empleados de su compañía.

3) Enfoque de ciberseguridad basado en los riesgos

El artículo 21 requiere que las medidas de ciberseguridad sean apropiadas para los riesgos correspondientes. Al evaluar los riesgos, la NIS2 obliga a que las compañías tengan en cuenta lo siguiente:

  • exposición a los riesgos
  • tamaño de la entidad
  • probabilidad de que se produzcan incidentes y su severidad
  • repercusiones sociales y económicas de los incidentes

Requisitos de la NIS 2: 8 cosas que necesitas saber sobre la ciberseguridad y las notificaciones

4) Ciberseguridad como una combinación de medidas técnicas, operativas y organizativas

El artículo 21 exige que las compañías “tomen las medidas técnicas, operativas y de organización adecuadas y proporcionadas para gestionar los riesgos que se planteen para la seguridad de los sistemas de redes y de información… y evitar o minimizar las repercusiones de los incidentes en los destinatarios de sus servicios y en otros servicios”.

Además, el artículo 21 considera un enfoque basado en todos los peligros, lo que básicamente significa que las compañías tienen que prepararse para una amplia gama de amenazas potenciales.

Por último, el artículo 21 especifica una serie de documentos y medidas de ciberseguridad que detallamos en este artículo: Lista de documentos exigidos por la NIS 2.

5) Seguridad de la cadena de suministros

El artículo 21 obliga a las compañías a prestar especial atención a los riesgos relacionados con los proveedores o prestadores de servicios directos, en particular:

  • Vulnerabilidades específicas de cada proveedor y prestador de servicios directo
  • Calidad general de los productos y las prácticas en materia de ciberseguridad de los proveedores y prestadores de servicios
  • Procedimientos de desarrollo seguro de los proveedores y prestadores de servicios

6) Notificación de incidentes significativos

El artículo 23 exige que las compañías notifiquen cualquier incidente significativo a los equipos de respuesta a incidentes de seguridad informática (CSIRT) de la siguiente manera:

  • Una alerta temprana: indica si cabe sospechar que el incidente significativo responde a una acción ilícita o malintencionada o puede tener repercusiones transfronterizas.
  • Una notificación del incidente: expone una evaluación inicial del incidente significativo, incluyendo su gravedad e impacto, así como indicadores de compromiso, cuando estén disponibles.
  • Un informe intermedio: ofrece actualizaciones pertinentes sobre la situación.
  • Un informe final: debe crearse, a más tardar, un mes después de presentar la notificación del incidente.
  • Un informe de situación: creado en el caso de que el incidente siga en curso en el momento de la presentación del informe final.

Vea también: ¿Cuáles son las obligaciones de notificación según la NIS 2?

7) Uso de productos y servicios de TIC certificados

La NIS 2 no exige que las entidades esenciales e importantes obtengan ninguna certificación. Sin embargo, la Directiva NIS2 permite que los países de la UE (Estados miembros) o la Comisión de la UE exijan a esas entidades que utilicen productos o servicios de TIC que estén certificados. En el momento de escribir este artículo, no se exige el uso de productos o servicios de TIC certificados, pero existe una alta probabilidad de que acabe siendo obligatorio.

Esos productos y servicios de TIC deberán estar certificados de acuerdo con el esquema europeo de certificación de la ciberseguridad.

8) Supervisión y multas

NIS2 exige una estricta supervisión de las entidades esenciales e importantes: inspecciones in situ, supervisión a distancia, auditorías de ciberseguridad y escáneres de seguridad.

Igual que ocurre en el RGPD de la UE, el artículo 34 de esta Directiva introduce multas para las compañías que no cumplan con la NIS 2:

  • Para las entidades esenciales: un máximo de 10 millones de euros o un máximo del 2% de la facturación anual total en todo el mundo.
  • Para entidades importantes: un máximo de 7 millones de euros o un máximo del 1,4% de la facturación anual total en todo el mundo.

Valorando este aspecto desde la experiencia con el RGPD de la UE, la tendencia durante los dos primeros años tras su entrada en vigor fue no imponer multas considerables a las compañías. Sin embargo, posteriormente, estas multas han pasado a ser muy habituales.

Legislación adicional de los países de la UE

Desgraciadamente, la historia no acaba aquí: los países de la UE (Estados miembros) pueden introducir sus propios requisitos de ciberseguridad y notificaciones además de lo que establece la NIS 2. Este proceso de elaboración de legislación local a partir de una directiva de la UE se conoce como “transposición”.

A fecha de redacción de este artículo, sólo un Estado miembro ha transpuesto la NIS 2 a su legislación local:

Como en el caso de la Ley de Ciberseguridad de Croacia, es probable que la mayoría de los Estados miembros no introduzcan nuevos requisitos de mayor envergadura, aunque cabe esperar algunos requisitos adicionales de menor envergadura; en cualquier caso, actualizaré este artículo cuando esto ocurra.

Para más información sobre la NIS2, descargue este libro blanco gratuito: Guía completa de la Directiva NIS 2.

Advisera Dejan Kosutic

Dejan Kosutic

Destacado experto en ciberseguridad y seguridad de la información y autor de varios libros, artículos, webinars y cursos. Como experto de primer nivel, Dejan fundó Advisera para ayudar a las pequeñas y medianas empresas a conseguir los recursos que necesitan para cumplir con la normativa de la UE y las normas ISO. Cree que conseguir que los marcos regulatorios complejos resulten fáciles de entender y usar crea una ventaja competitiva para los clientes de Advisera, y que la IA es clave para lograrlo.

Como experto en ISO 27001 y NIS 2, Dejan ayuda a las empresas a encontrar el mejor camino hacia el cumplimiento normativo, eliminando gastos fijos y adaptando la implementación al tamaño y las necesidades específicas del sector.

Leer más artículos de Dejan Kosutic