- Visión general de la Directiva NIS2 y su impacto en el panorama digital europeo
- Reforzar la seguridad de la información y de las redes: Aspectos clave de la Directiva NIS2
- Análisis de riesgos y políticas de seguridad de los sistemas de información
- Prevención, detección y respuesta ante incidentes
- Continuidad del negocio y gestión de crisis
- Seguridad de terceros y de la cadena de suministro
- Seguridad en la adquisición, desarrollo y mantenimiento de redes y sistemas de información
- Evaluación de las medidas de gestión de riesgos de ciberseguridad
- Políticas y procedimientos de criptografía y cifrado
Este mundo cada vez más digital ofrece numerosas ventajas, desde una mejor conectividad hasta una mayor agilidad empresarial. Sin embargo, esta creciente dependencia de las tecnologías digitales transformadoras, especialmente en sectores críticos como el transporte, la energía, la sanidad o las finanzas, expone a las organizaciones a mayores vulnerabilidades. Dado que la complejidad de las ciber-amenazas sigue evolucionando, el Consejo Europeo (UE) ha adoptado la Directiva NIS2 para reforzar la resiliencia frente a dichas amenazas. La Directiva NIS2 pretende mejorar la capacidad de resistencia de la ciberseguridad ampliando su ámbito de aplicación, estableciendo medidas de seguridad armonizadas y requisitos de notificación de incidentes en toda la UE, y fomentando la cooperación entre los Estados miembros a la hora de compartir información sobre amenazas y mejores prácticas. Sustituyendo a la anterior Directiva NIS de 2016, la Directiva NIS2 obliga a los Estados miembros a incorporar la nueva directiva a sus legislaciones nacionales antes del 18 de octubre de 2024.
Esta iniciativa forma parte de un esfuerzo más amplio de la UE para seguir mejorando la posición y la resiliencia en materia de ciberseguridad. Además de la Directiva NIS2, la UE está introduciendo la Ley de Ciberresiliencia (CRA), dirigida a productos de hardware y software con elementos digitales. La CRA, dirigida específicamente a los fabricantes, pretende mejorar la seguridad desde la fase de diseño y desarrollo y a lo largo de todo el ciclo de vida del producto. También aspira a crear un marco coherente de ciberseguridad, aumentar la transparencia de las propiedades de seguridad y permitir a empresas y consumidores utilizar los productos digitales de forma segura.
Paralelamente, el Reino Unido ha introducido la Ley de Seguridad de las Telecomunicaciones (TSA) para mejorar la seguridad y resistencia de las redes y servicios de comunicaciones electrónicas en el país, lo que demuestra una mayor armonización de las normas de ciberseguridad en el Reino Unido y la UE.
Vamos a esbozar las implicaciones de la Directiva NIS2 y a proporcionar una guía para prepararse para su aplicación, garantizando un entorno digital más seguro y resistente en toda la UE.
Visión general de la Directiva NIS2 y su impacto en el panorama digital europeo
La Directiva NIS2 aborda las ambigüedades anteriores y amplía su ámbito de aplicación para abarcar nuevos sectores, incluidos los proveedores de infraestructuras digitales, mediante la introducción de las clasificaciones de entidades "esenciales" e "importantes". En virtud de la Directiva NIS2, cualquier entidad que opere en la UE en uno o más de los sectores especificados -como el transporte, la energía, la sanidad y las finanzas-, que emplee a más de 50 trabajadores y cuyo volumen de negocios anual supere los 10 millones de euros, se considerará automáticamente esencial o importante y entrará en el ámbito de aplicación de la Directiva. Se calcula que la revisión de los criterios de la Directiva NIS a la Directiva NIS2 podría multiplicar por 10 el número de entidades incluidas.
Un cambio notable con respecto a la Directiva NIS es la mayor precisión en el proceso de notificación de incidentes. Con arreglo a la Directiva NIS2, las empresas deben presentar un informe de "alerta rápida" en el plazo de 24 horas desde que tienen conocimiento de un incidente, seguido de una evaluación inicial en el plazo de 72 horas y un informe final en el plazo de un mes.
La nueva directiva también introduce sanciones económicas más severas en caso de incumplimiento, ya que las organizaciones pueden enfrentarse a multas de hasta 10 millones de euros o el 2% de los ingresos globales anuales, la cantidad que sea mayor.
Aunque tanto las entidades esenciales como las importantes están sujetas a las mismas disposiciones, el régimen de aplicación será relativamente leve para las clasificadas como importantes. El núcleo de la Directiva NIS2 gira en torno a las siguientes buenas prácticas de ciberseguridad bien establecidas:
- Evaluación continua de riesgos y vulnerabilidades en todas las fases del ciclo de vida de las operaciones, incluidas las consideraciones relativas a la cadena de suministro y al ecosistema en general.
- Mitigación proactiva de los riesgos identificados mediante medidas proporcionadas de prevención, detección y respuesta a las amenazas, tanto a nivel de la red como de los sistemas de información.
- Desarrollo de procedimientos eficaces de gestión de crisis para garantizar la máxima continuidad operativa en caso de incidente.
- Intercambio rápido, abierto y transparente de información sobre vulnerabilidades e incidentes con los organismos nacionales de supervisión y todas las partes potencialmente afectadas, ya sea directa o indirectamente.
Reforzar la seguridad de la información y de las redes: Aspectos clave de la Directiva NIS2
Dado que las amenazas a la seguridad pueden provenir de diversas fuentes, la Directiva NIS2 adopta un enfoque "a todo riesgo", que abarca la protección frente a sucesos como robos, incendios, inundaciones, fallos en las telecomunicaciones o en el suministro eléctrico, así como ciberataques. Este enfoque incluye varios componentes clave.
Análisis de riesgos y políticas de seguridad de los sistemas de información
Para evaluar plenamente los riesgos potenciales, las entidades deben identificar sus activos, servicios y vulnerabilidades potenciales más importantes. La clasificación de una entidad como esencial o importante con arreglo a la Directiva NIS2 implica la existencia de directrices de evaluación de riesgos nacionales o sectoriales específicas de la UE. A nivel de la UE, sí existen directrices para la evaluación de riesgos en el ámbito de la ciberseguridad. La Agencia de la Unión Europea para la Ciberseguridad (ENISA) desempeña un papel importante en la elaboración y promoción de tales directrices. Por ejemplo, la recientemente publicada Caja de Herramientas de Gestión de Riesgos (RM) de la UE por ENISA es un excelente ejemplo de un marco de evaluación de riesgos diseñado para abordar las preocupaciones de interoperabilidad y facilitar la integración de diversos métodos de gestión de riesgos dentro de las organizaciones.
Las entidades deben adoptar un enfoque proactivo de la evaluación de riesgos, manteniendo una vigilancia constante de las amenazas y vulnerabilidades emergentes que podrían afectar a las operaciones.
Prevención, detección y respuesta ante incidentes
Una vez realizada una evaluación completa de los riesgos, deben adoptarse medidas acordes para prevenirlos, detectarlos, responder a ellos y mitigarlos.
Esto abarcará desde la higiene básica de la seguridad -como la aplicación oportuna de parches y actualizaciones de seguridad, el control del acceso y la formación de todo el personal en las mejores prácticas de seguridad- hasta la implantación de defensas de ciberseguridad completas de varios niveles.
En reconocimiento de los retos que plantea la defensa frente a amenazas cibernéticas cada vez más numerosas y sofisticadas, la directiva fomenta "el uso de cualquier tecnología innovadora, incluida la inteligencia artificial [IA], cuyo uso podría mejorar la detección y prevención de ciberataques, permitiendo reutilizar recursos [...] de forma más eficaz".
Continuidad del negocio y gestión de crisis
Por eficaces que sean las contramedidas, los incidentes son inevitables, ya se deban a fallos de los equipos o las comunicaciones o a una brecha, tal vez mediante algún vector de ataque desconocido hasta entonces. Cuando esto ocurre, las entidades necesitan tener un plan detallado y la respuesta debe ser inmediata, ya que, con cada segundo que pasa, el daño potencial y los costes incurridos pueden aumentar exponencialmente.
Generar resiliencia es crucial para garantizar que las organizaciones puedan seguir funcionando a pesar de interrupciones, ciberataques o cualquier otro acontecimiento inesperado. El punto de partida debe ser una arquitectura de alta disponibilidad con recuperación automática de fallos y copias de seguridad externas de todos los datos críticos. La utilización de la tecnología SD-WAN también puede ayudar a garantizar una conectividad fiable, segura y eficiente entre las distintas localizaciones, lo que permite a las organizaciones mantener la continuidad del negocio y mejorar su resistencia general frente a posibles interrupciones.
La Directiva NIS2 subraya la importancia del "intercambio de información sobre ciberamenazas, incidentes, vulnerabilidades, herramientas y métodos, tácticas, técnicas y procedimientos, preparación y ejercicios de gestión de crisis de ciberseguridad, formación, creación de confianza y acuerdos estructurados de intercambio de información". La iniciativa EU-CyCLONe es un claro ejemplo de esfuerzo coordinado para mejorar las capacidades de gestión de crisis cibernéticas fomentando la colaboración y el intercambio de información entre los Estados miembros de la UE.
Seguridad de terceros y de la cadena de suministro
La Directiva NIS2 subraya la importancia de gestionar los riesgos de ciberseguridad de terceros y de la cadena de suministro. Incidentes recientes, como la vulnerabilidad Log4j, ponen de relieve el impacto potencial de las vulnerabilidades de la cadena de suministro en la postura de seguridad de una organización. Para ajustarse eficazmente a los requisitos de la Directiva NIS2, las organizaciones deben considerar la incorporación de las recomendaciones formuladas en los debates en torno al Marco de Ciberseguridad (CSF) 2.0 y adherirse a normas de seguridad de la información bien establecidas, como la ISO 27001.
En el contexto del CSF 2.0, los profesionales han destacado la importancia de diferenciar entre varios tipos de cadenas de suministro, como vendedores, software, hardware y proveedores de la cadena de suministro. Esta diferenciación es crítica debido a los distintos enfoques de seguridad necesarios para cada tipo, especialmente con el creciente número de dispositivos IoT, procesos impulsados por software (SaaS, bibliotecas de código abierto y otros) y organizaciones que proporcionan software a los consumidores (aplicaciones, sitios web y otros).
Seguridad en la adquisición, desarrollo y mantenimiento de redes y sistemas de información
Unos sistemas de gestión de la seguridad de la información (SGSI) sólidos deben abarcar todo el ciclo de vida de los sistemas de información. La Directiva NIS2 hace hincapié en la identificación, gestión y divulgación oportunas de las vulnerabilidades, en consonancia con las orientaciones de normas internacionales como ISO 27001 Anexo A.14, ISO/IEC 30111 e ISO/IEC 29147. La incorporación de marcos como NIST CSF puede mejorar aún más las prácticas de seguridad durante la adquisición, el desarrollo y el mantenimiento del sistema, garantizando un enfoque integral y resistente.
Disponer de una plataforma que se integre con el SGSI también es clave para mejorar las prácticas de seguridad. Esta integración permite a las organizaciones automatizar y racionalizar sus procesos de seguridad, garantizando un enfoque cohesionado y global de la gestión de los riesgos de seguridad de la información.
Evaluación de las medidas de gestión de riesgos de ciberseguridad
La Directiva NIS2 exige a las organizaciones que evalúen periódicamente sus medidas de gestión de riesgos de ciberseguridad. La adopción de un marco como PolicyOps puede agilizar el proceso de evaluación y gestión de las políticas y procedimientos de seguridad de su organización. PolicyOps permite automatizar las evaluaciones de las políticas de seguridad de su organización, realizar un seguimiento del cumplimiento y garantizar que sus medidas de gestión de riesgos se ajustan a los requisitos de la Directiva NIS2 y a otras normas de seguridad relevantes. La automatización de su proceso de gestión de riesgos de ciberseguridad puede ayudar a mantener una postura de seguridad sólida y demostrar el cumplimiento de los requisitos normativos.
Políticas y procedimientos de criptografía y cifrado
La directiva fomenta el pleno aprovechamiento de los principios de protección de datos desde el diseño y por defecto, así como de las medidas más avanzadas de seguridad y preservación de la intimidad, como la seudonimización y el cifrado, para la protección de los datos personales. Para determinados proveedores, es probable que el uso del cifrado de extremo a extremo sea obligatorio.
No espere: actúe ahora para cumplir la Directiva NIS2 y reforzar su posición de seguridad
Prepararse para cumplir la Directiva NIS2 no es sólo un requisito normativo, sino una oportunidad para reforzar la resiliencia de la ciberseguridad de su organización. Mientras las agencias y autoridades nacionales de ciberseguridad trabajan en la incorporación de la Directiva NIS2 a sus respectivas legislaciones, las empresas deben evaluar y abordar de forma proactiva sus necesidades de ciberseguridad. Esperar a la aplicación completa de la Directiva podría poner a las organizaciones en desventaja, dejándolas expuestas a posibles ciberamenazas y rezagadas en un panorama de ciberseguridad en rápida evolución.
Mediante la evaluación proactiva de la postura actual de su organización en materia de ciberseguridad y la identificación de áreas de mejora, puede gestionar eficazmente los riesgos de ciberseguridad, cumplir con los estrictos requisitos de información y mantener una infraestructura de red resistente. No se arriesgue a quedarse atrás o a enfrentarse a sanciones. Dé el primer paso hacia el cumplimiento de la Directiva NIS2 hoy mismo.
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación