{"id":115858,"date":"2024-01-22T11:21:11","date_gmt":"2024-01-22T11:21:11","guid":{"rendered":"https:\/\/advisera.com\/articles\/8-requirements-nis2\/"},"modified":"2024-09-19T17:59:32","modified_gmt":"2024-09-19T17:59:32","slug":"8-requisitos-nis2","status":"publish","type":"adv_resources","link":"https:\/\/advisera.com\/es\/articulos\/8-requisitos-nis2\/","title":{"rendered":"Los 8 requisitos de ciberseguridad y las obligaciones de notificaci\u00f3n m\u00e1s importantes en la NIS2"},"content":{"rendered":"<p><em>Actualizado el 6 de marzo de 2024 (transposici\u00f3n en los Estados miembros)<\/em><\/p>\n<p>Si su compa\u00f1\u00eda se est\u00e1 preparando para cumplir con la <a href=\"https:\/\/advisera.com\/es\/articulos\/que-es-nis2\/\" target=\"_blank\" rel=\"noopener\">NIS 2<\/a> (SRI 2), seguramente se est\u00e9 preguntando lo que tiene que hacer. Este art\u00edculo expone los requisitos m\u00e1s importantes de la NIS2 que debe cumplir, centr\u00e1ndose en el Cap\u00edtulo IV, Medidas para la gesti\u00f3n de riesgos de ciberseguridad y obligaciones de notificaci\u00f3n.<\/p>\n<div class=\"post-featured\">\n<div class=\"post-featured--title\">Los requisitos m\u00e1s importantes de la NIS2:<\/div>\n<div class=\"post-featured--content\">\n<ol>\n<li>Responsabilidades de los \u00f3rganos de direcci\u00f3n<\/li>\n<li>Importancia de la formaci\u00f3n<\/li>\n<li>Enfoque de ciberseguridad basado en los riesgos<\/li>\n<li>Ciberseguridad como una combinaci\u00f3n de medidas t\u00e9cnicas, operativas y organizativas<\/li>\n<li>Seguridad de la cadena de suministros<\/li>\n<li>Notificaci\u00f3n de incidentes significativos<\/li>\n<li>Uso de productos y servicios de TIC certificados<\/li>\n<li>Multas<\/li>\n<\/ol>\n<\/div>\n<\/div>\n<p>Sorprendentemente, de 46 art\u00edculos de la Directiva NIS 2, solo los art\u00edculos 20 a 25 son realmente relevantes para las compa\u00f1\u00edas (<a href=\"https:\/\/advisera.com\/es\/articulos\/a-quien-se-aplica-la-nis-2\/\" target=\"_blank\" rel=\"noopener\">entidades esenciales e importantes<\/a>) que deben cumplir con la NIS 2; la mayor\u00eda del resto de art\u00edculos establecen exigencias para las entidades gubernamentales que regulan la ciberseguridad.<\/p>\n<p>Vea tambi\u00e9n: <a href=\"https:\/\/advisera.com\/es\/articulos\/nis2-implementacion-pasos\/\" target=\"_blank\" rel=\"noopener\">15 pasos para la implementaci\u00f3n de medidas para la gesti\u00f3n de riesgos de ciberseguridad en la NIS 2<\/a><\/p>\n<p>Los requisitos m\u00e1s importantes se encuentran en el Cap\u00edtulo IV y se articulan en torno a dos temas principales: la gesti\u00f3n de riesgos de ciberseguridad y las obligaciones de notificaci\u00f3n. Fuera del Cap\u00edtulo IV, solo hay unas pocas cuestiones relevantes para las entidades esenciales e importantes.<\/p>\n<p>Aqu\u00ed van los requisitos m\u00e1s importantes de la NIS 2 que usted debe tener en cuenta:<br \/>\n<div id=\"middle-banner\" class=\"banner-shortcode\"><\/div><script>loadMiddleBanner();<\/script><\/p>\n<h2>1) Responsabilidades de los \u00f3rganos de direcci\u00f3n<\/h2>\n<p>Seg\u00fan el <a href=\"https:\/\/advisera.com\/es\/nis2\/gobernanza\/\" target=\"_blank\" rel=\"noopener\">art\u00edculo 20<\/a>, los \u00f3rganos de direcci\u00f3n de las entidades esenciales e importantes:<\/p>\n<ul>\n<li>deben aprobar medidas de ciberseguridad que deban implementarse en la compa\u00f1\u00eda,<\/li>\n<li>deben supervisar su implementaci\u00f3n y<\/li>\n<li>pueden ser considerados responsables si la ciberseguridad no se implementa adecuadamente.<\/li>\n<\/ul>\n<p>Los art\u00edculos <a href=\"https:\/\/advisera.com\/es\/nis2\/medidas-de-supervision-y-ejecucion-relativas-a-entidades-esenciales\/\" target=\"_blank\" rel=\"noopener\">32<\/a> y <a href=\"https:\/\/advisera.com\/es\/nis2\/medidas-de-supervision-y-ejecucion-en-relacion-con-entidades-importantes\/\" target=\"_blank\" rel=\"noopener\">33<\/a> insisten a\u00fan m\u00e1s en la responsabilidad de los representantes legales de las entidades esenciales y las entidades importantes.<\/p>\n<h2>2) Importancia de la formaci\u00f3n<\/h2>\n<p>Seg\u00fan el art\u00edculo 20, los miembros de los \u00f3rganos de direcci\u00f3n deben formarse en materia de ciberseguridad y deben ofrecer este tipo de formaci\u00f3n a sus empleados peri\u00f3dicamente.<\/p>\n<p>La NIS 2 exige que esta formaci\u00f3n abarque la identificaci\u00f3n de riesgos, la evaluaci\u00f3n de las pr\u00e1cticas de ciberseguridad y c\u00f3mo estas medidas de ciberseguridad ayudan a la compa\u00f1\u00eda a proporcionar sus servicios.<\/p>\n<p>Haga clic aqu\u00ed para ver <a href=\"https:\/\/advisera.com\/training\/security-awareness-training\/#company-account\" target=\"_blank\" rel=\"noopener\">25 v\u00eddeos de conciencia sobre seguridad<\/a> para formar a los empleados de su compa\u00f1\u00eda.<\/p>\n<h2>3) Enfoque de ciberseguridad basado en los riesgos<\/h2>\n<p>El <a href=\"https:\/\/advisera.com\/es\/nis2\/medidas-para-la-gestion-de-riesgos-de-ciberseguridad\/\" target=\"_blank\" rel=\"noopener\">art\u00edculo 21<\/a> requiere que las medidas de ciberseguridad sean apropiadas para los riesgos correspondientes. Al evaluar los riesgos, la NIS2 obliga a que las compa\u00f1\u00edas tengan en cuenta lo siguiente:<\/p>\n<ul>\n<li>exposici\u00f3n a los riesgos<\/li>\n<li>tama\u00f1o de la entidad<\/li>\n<li>probabilidad de que se produzcan incidentes y su severidad<\/li>\n<li>repercusiones sociales y econ\u00f3micas de los incidentes<\/li>\n<\/ul>\n<p><img decoding=\"async\" class=\"aligncenter wp-image-116365 size-full\" src=\"https:\/\/advisera.com\/wp-content\/uploads\/2024\/01\/the-8-most-important-cybersecurity-and-reporting-requirements-in-nis-2-spanish.png\" alt=\"Requisitos de la NIS 2: 8 cosas que necesitas saber sobre la ciberseguridad y las notificaciones\" width=\"2500\" height=\"1309\" title=\"\" srcset=\"https:\/\/advisera.com\/wp-content\/uploads\/2024\/01\/the-8-most-important-cybersecurity-and-reporting-requirements-in-nis-2-spanish.png 2500w, https:\/\/advisera.com\/wp-content\/uploads\/2024\/01\/the-8-most-important-cybersecurity-and-reporting-requirements-in-nis-2-spanish-300x157.png 300w, https:\/\/advisera.com\/wp-content\/uploads\/2024\/01\/the-8-most-important-cybersecurity-and-reporting-requirements-in-nis-2-spanish-1024x536.png 1024w, https:\/\/advisera.com\/wp-content\/uploads\/2024\/01\/the-8-most-important-cybersecurity-and-reporting-requirements-in-nis-2-spanish-768x402.png 768w, https:\/\/advisera.com\/wp-content\/uploads\/2024\/01\/the-8-most-important-cybersecurity-and-reporting-requirements-in-nis-2-spanish-1536x804.png 1536w, https:\/\/advisera.com\/wp-content\/uploads\/2024\/01\/the-8-most-important-cybersecurity-and-reporting-requirements-in-nis-2-spanish-2048x1072.png 2048w\" sizes=\"(max-width: 2500px) 100vw, 2500px\" \/><\/p>\n<h2>4) Ciberseguridad como una combinaci\u00f3n de medidas t\u00e9cnicas, operativas y organizativas<\/h2>\n<p>El art\u00edculo 21 exige que las compa\u00f1\u00edas \u201ctomen las medidas t\u00e9cnicas, operativas y de organizaci\u00f3n adecuadas y proporcionadas para gestionar los riesgos que se planteen para la seguridad de los sistemas de redes y de informaci\u00f3n&#8230; y evitar o minimizar las repercusiones de los incidentes en los destinatarios de sus servicios y en otros servicios\u201d.<\/p>\n<p>Adem\u00e1s, el art\u00edculo 21 considera un enfoque basado en todos los peligros, lo que b\u00e1sicamente significa que las compa\u00f1\u00edas tienen que prepararse para una amplia gama de amenazas potenciales.<\/p>\n<p>Por \u00faltimo, el art\u00edculo 21 especifica una serie de documentos y medidas de ciberseguridad que detallamos en este art\u00edculo: <a href=\"https:\/\/advisera.com\/es\/articulos\/documentos-obligatorios-nis-2\/\" target=\"_blank\" rel=\"noopener\">Lista de documentos exigidos por la NIS 2<\/a>.<\/p>\n<h2>5) Seguridad de la cadena de suministros<\/h2>\n<p>El art\u00edculo 21 obliga a las compa\u00f1\u00edas a prestar especial atenci\u00f3n a los riesgos relacionados con los proveedores o prestadores de servicios directos, en particular:<\/p>\n<ul>\n<li>Vulnerabilidades espec\u00edficas de cada proveedor y prestador de servicios directo<\/li>\n<li>Calidad general de los productos y las pr\u00e1cticas en materia de ciberseguridad de los proveedores y prestadores de servicios<\/li>\n<li>Procedimientos de desarrollo seguro de los proveedores y prestadores de servicios<\/li>\n<\/ul>\n<h2>6) Notificaci\u00f3n de incidentes significativos<\/h2>\n<p>El art\u00edculo 23 exige que las compa\u00f1\u00edas notifiquen cualquier incidente significativo a los equipos de respuesta a incidentes de seguridad inform\u00e1tica (CSIRT) de la siguiente manera:<\/p>\n<ul>\n<li>Una alerta temprana: indica si cabe sospechar que el incidente significativo responde a una acci\u00f3n il\u00edcita o malintencionada o puede tener repercusiones transfronterizas.<\/li>\n<li>Una notificaci\u00f3n del incidente: expone una evaluaci\u00f3n inicial del incidente significativo, incluyendo su gravedad e impacto, as\u00ed como indicadores de compromiso, cuando est\u00e9n disponibles.<\/li>\n<li>Un informe intermedio: ofrece actualizaciones pertinentes sobre la situaci\u00f3n.<\/li>\n<li>Un informe final: debe crearse, a m\u00e1s tardar, un mes despu\u00e9s de presentar la notificaci\u00f3n del incidente.<\/li>\n<li>Un informe de situaci\u00f3n: creado en el caso de que el incidente siga en curso en el momento de la presentaci\u00f3n del informe final.<\/li>\n<\/ul>\n<p>Vea tambi\u00e9n: <a href=\"https:\/\/advisera.com\/es\/articulos\/obligaciones-de-notificacion-nis2\/\" target=\"_blank\" rel=\"noopener\">\u00bfCu\u00e1les son las obligaciones de notificaci\u00f3n seg\u00fan la NIS 2?<\/a><\/p>\n<h2>7) Uso de productos y servicios de TIC certificados<\/h2>\n<p>La NIS 2 no exige que las entidades esenciales e importantes obtengan ninguna certificaci\u00f3n. Sin embargo, la Directiva NIS2 permite que los pa\u00edses de la UE (Estados miembros) o la Comisi\u00f3n de la UE exijan a esas entidades que utilicen productos o servicios de TIC que est\u00e9n certificados. En el momento de escribir este art\u00edculo, no se exige el uso de productos o servicios de TIC certificados, pero existe una alta probabilidad de que acabe siendo obligatorio.<\/p>\n<p>Esos productos y servicios de TIC deber\u00e1n estar certificados de acuerdo con el esquema europeo de certificaci\u00f3n de la ciberseguridad.<\/p>\n<h2>8) Supervisi\u00f3n y multas<\/h2>\n<p>NIS2 exige una estricta supervisi\u00f3n de las entidades esenciales e importantes: inspecciones in situ, supervisi\u00f3n a distancia, auditor\u00edas de ciberseguridad y esc\u00e1neres de seguridad.<\/p>\n<p>Igual que ocurre en el RGPD de la UE, el <a href=\"https:\/\/advisera.com\/es\/nis2\/condiciones-generales-para-la-imposicion-de-multas-administrativas-a-entidades-esenciales-e-importantes\/\" target=\"_blank\" rel=\"noopener\">art\u00edculo 34<\/a> de esta Directiva introduce multas para las compa\u00f1\u00edas que no cumplan con la NIS 2:<\/p>\n<ul>\n<li>Para las entidades esenciales: un m\u00e1ximo de 10 millones de euros o un m\u00e1ximo del 2% de la facturaci\u00f3n anual total en todo el mundo.<\/li>\n<li>Para entidades importantes: un m\u00e1ximo de 7 millones de euros o un m\u00e1ximo del 1,4% de la facturaci\u00f3n anual total en todo el mundo.<\/li>\n<\/ul>\n<p>Valorando este aspecto desde la experiencia con el RGPD de la UE, la tendencia durante los dos primeros a\u00f1os tras su entrada en vigor fue no imponer multas considerables a las compa\u00f1\u00edas. Sin embargo, posteriormente, estas multas han pasado a ser muy habituales.<\/p>\n<h2>Legislaci\u00f3n adicional de los pa\u00edses de la UE<\/h2>\n<p>Desgraciadamente, la historia no acaba aqu\u00ed: los pa\u00edses de la UE (Estados miembros) pueden introducir sus propios requisitos de ciberseguridad y notificaciones adem\u00e1s de lo que establece la NIS 2. Este proceso de elaboraci\u00f3n de legislaci\u00f3n local a partir de una directiva de la UE se conoce como \u201ctransposici\u00f3n\u201d.<\/p>\n<p>A fecha de redacci\u00f3n de este art\u00edculo, s\u00f3lo un Estado miembro ha transpuesto la NIS 2 a su legislaci\u00f3n local:<\/p>\n<ul>\n<li><a href=\"https:\/\/advisera.com\/articles\/croatia-cybersecurity-act-vs-nis-2\/\" target=\"_blank\" rel=\"noopener\">What are additional requirements of Croatia\u2019s Cybersecurity Act when compared to NIS 2?<\/a><\/li>\n<\/ul>\n<p>Como en el caso de la Ley de Ciberseguridad de Croacia, es probable que la mayor\u00eda de los Estados miembros no introduzcan nuevos requisitos de mayor envergadura, aunque cabe esperar algunos requisitos adicionales de menor envergadura; en cualquier caso, actualizar\u00e9 este art\u00edculo cuando esto ocurra.<\/p>\n<p><em>Para encontrar todos los documentos necesarios para cumplir la Directiva NIS 2 (SRI 2), consulta el<\/em>\u00a0<a href=\"https:\/\/advisera.com\/toolkits\/nis-2-documentation-toolkit\/\" target=\"_blank\" rel=\"noopener\">Paquete de Documentos NIS 2<\/a>\u00a0<em>que incluye todas las pol\u00edticas, procedimientos, planes y otras plantillas<\/em>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Actualizado el 6 de marzo de 2024 (transposici\u00f3n en los Estados miembros) Si su compa\u00f1\u00eda se est\u00e1 preparando para cumplir con la NIS 2 (SRI 2), seguramente se est\u00e9 preguntando lo que tiene que hacer. Este art\u00edculo expone los requisitos m\u00e1s importantes de la NIS2 que debe cumplir, centr\u00e1ndose en el Cap\u00edtulo IV, Medidas para [&hellip;]<\/p>\n","protected":false},"author":26,"featured_media":116214,"comment_status":"open","ping_status":"closed","template":"","tags":[],"class_list":["post-115858","adv_resources","type-adv_resources","status-publish","has-post-thumbnail","hentry","adv_resource_type-articles-es","adv_standard-nis-2-es","adv_topic-implementation","adv_topic-legal-requirements","adv_level-beginner"],"acf":[],"_links":{"self":[{"href":"https:\/\/advisera.com\/es\/wp-json\/wp\/v2\/adv_resources\/115858","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/advisera.com\/es\/wp-json\/wp\/v2\/adv_resources"}],"about":[{"href":"https:\/\/advisera.com\/es\/wp-json\/wp\/v2\/types\/adv_resources"}],"author":[{"embeddable":true,"href":"https:\/\/advisera.com\/es\/wp-json\/wp\/v2\/users\/26"}],"replies":[{"embeddable":true,"href":"https:\/\/advisera.com\/es\/wp-json\/wp\/v2\/comments?post=115858"}],"version-history":[{"count":0,"href":"https:\/\/advisera.com\/es\/wp-json\/wp\/v2\/adv_resources\/115858\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/advisera.com\/es\/wp-json\/wp\/v2\/media\/116214"}],"wp:attachment":[{"href":"https:\/\/advisera.com\/es\/wp-json\/wp\/v2\/media?parent=115858"}],"wp:term":[{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/advisera.com\/es\/wp-json\/wp\/v2\/tags?post=115858"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}