Directiva NIS2: qué dice la normativa europea sobre ciberseguridad

La Directiva NIS2 es la pieza fundamental de la legislación europea en el ámbito de la ciberseguridad. Sus medidas pretenden garantizar la seguridad de las redes y sistemas de información en el conjunto del territorio de la UE. Algo que resulta esencial en tiempos de digitalización, y con los ciberdelitos en continuo auge, tanto para grandes empresas como para pymes.

La Directiva NIS2 se publicó a finales de 2022 y establece la obligación para todos los Estados miembros de adoptar una Estrategia Nacional de Seguridad. Serán ellos quienes decidan cómo llevar a la práctica las normas y objetivos de la NIS2.

Los diferentes países comparten un Grupo de Cooperación internacional que facilita la colaboración y el intercambio de información y una red de equipos europea pensada para dar respuesta a incidentes de seguridad informáticos (red CSIRT).

Con todo ello, se está trabajando y avanzando en la legislación sobre ciberseguridad en cada territorio. Según lo acordado, las principales medidas ya deberían estar aplicándose para octubre de 2024.

A quién va dirigida la Directiva NIS2

La Directiva NIS 2 se dirige, principalmente, a las empresas consideradas como esenciales o importantes. Son definidas por cada país, aunque la normativa europea ya apunta y define de manera general qué se considera servicios esenciales, proveedores de servicios digitales, además de sectores, subsectores e infraestructuras estratégicas y críticas.

Por ejemplo, un servicio esencial es aquel que resulta necesario para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos o el eficaz funcionamiento de las Administraciones Públicas. Y para la provisión de esos servicios esenciales se requieren operadores que hagan uso de infraestructuras y/o redes que se entienden como críticas.

Por otro lado, varios sectores figuran en la lista que recoge el ámbito de aplicación de la NIS2: energía, transporte, banca, mercados financieros, sanidad, suministro de agua e infraestructuras digitales.

Directiva NIS2: cómo afecta a las pymes

Aunque no seas catalogadas como empresas esenciales, las pymes también deberían adoptar varias medidas en materia de ciberseguridad y, en particular, determinadas prácticas de ciberhigiene:

Seguir los principios de “confianza cero”.
Realizar actualizaciones de software.
Configurar de manera segura los dispositivos.
Segmentar la red.
Implantar la gestión de identidades y acceso.
Concienciar a los usuarios y organizar formaciones para su personal.
Sensibilizar sobre las ciberamenazas, phishing o técnicas de ingeniería social.

SCUDO y la NIS2

¿Sabías que todas estas medidas a las que se refiere la Directiva NIS2 están cubiertas con SCUDO, la ciberseguridad integral de Telecable empresas para las pymes?

Scudo permite a las pymes contar con una solución de seguridad digital integral muy completa y con las prestaciones más avanzadas.

Se trata de una herramienta pensada y orientada especialmente a pymes y negocios, basada en herramientas tecnológicas punteras, buenas prácticas y mediante la que siempre cuentas con el respaldo continuo de un equipo de expertos.

Principales medidas de la Directiva NIS2

Una vez definido a quién y cómo aplica, es hora de llevar a la práctica las medidas que pone sobre la mesa la Directiva NIS2.

Estas acciones tendrán en cuenta todos aquellos peligros que amenazen los sistemas de redes e información y su entorno físico. De manera general, se establecen unos elementos mínimos a incluir, relativos a los siguientes aspectos:

Políticas de seguridad de sistemas de información y análisis de riesgos.
Seguridad en la adquisición, desarrollo y mantenimiento de redes e información.
Gestión de incidentes.
Continuidad de las actividades (incluye, por ejemplo, la gestión de copias de seguridad).
Seguridad de la cadena de suministro, teniendo en cuenta también a proveedores o prestadores de servicios directos.
Prácticas básicas de ciberhigiene, como los principios de “confianza cero”, actualizaciones de software, configuración de dispositivos, segmentación de la red, gestión de la identidad o acceso a la concienciación de usuarios, con especial atención a los sistemas de aprendizaje automático y a las soluciones basadas en Inteligencia Artificial.
Formación en ciberseguridad.
Políticas y procedimientos relativos a la utilización de criptografía y cifrado.
Seguridad de recursos humanos y activos.
Soluciones de autenticación multifactorial o continua, comunicaciones de voz, vídeo y texto seguras.

Además, la normativa introduce conceptos como el Indicador de Peligrosidad, que diferencia entre crítico, muy alto, alto, medio y bajo y determina la potencial amenaza que supondría la materialización de un incidente en los sistemas de información o comunicación del ente afectado, y el Indicador de Impacto de un ciberincidente, evaluando sus consecuencias en actividades, activos o individuos.

NIS1 vs NIS2: novedades de la directiva NIS2

La Directiva NIS2 sustituye a la primera Directiva NIS1 (publicada en 2016) y va un paso más allá en cuánto al refuerzo de requisitos de seguridad y la manera de abordar la seguridad de las cadenas de suministro. Al mismo tiempo, simplifica las obligaciones de notificación de incidentes e introduce normas, medidas de supervisión y requisitos más estrictos y sanciones armonizadas en toda la UE.

También amplía el alcance cubierto por NIS, al obligar efectivamente a más entidades y sectores a tomar medidas. Ahora incluye a administraciones públicas, sector espacial o subsector del hidrógeno, además de entidades importantes y cadenas de suministro.

El objetivo es aumentar el nivel de ciberseguridad en Europa a largo plazo.

En concreto, la Directiva NIS2 identifica varios objetivos:

Aumentar el nivel de ciberresiliencia de todas las entidades públicas y privadas que cumplen funciones importantes para la economía y la sociedad en la Unión Europea.
Reducir las incoherencias en materia de resiliencia en los sectores ya cubiertos por la Directiva NIS1.
Mejorar el nivel de conocimiento conjunto de la situación y la capacidad colectiva para prepararse y responder a los ataques.

Con esta Directiva NIS2, Europa quiere hacer frente a los ciberdelitos y las amenazas cibernéticas y establecer medidas conjuntas que ayuden a las empresas, y al conjunto de la sociedad, a cuidar la ciberseguridad.

Si quieres saber más sobre nuestras soluciones tecnológicas para empresas, suscríbete a nuestro boletín o contacta con tu asesor personal o con nuestro equipo del área comercial empresas a través del siguiente formulario. Y para estar al día de las últimas noticias síguenos en LinkedIn.

Directiva NIS2: qué dice la normativa europea sobre ciberseguridad

A quién va dirigida la Directiva NIS2

Directiva NIS2: cómo afecta a las pymes

SCUDO y la NIS2

Principales medidas de la Directiva NIS2

NIS1 vs NIS2: novedades de la directiva NIS2

Lo + leído

Tecnología

“Zero Trust”: qué es y por qué conviene a tu empresa este modelo de ciberseguridad

Agenda eventos

La ciberseguridad no es sólo para técnicos: qué necesitas para proteger tu negoc

Agenda eventos

III EDICIÓN SEMANA online DE LAS TENDENCIAS e INFRAESTRUCTURAS TIC

Empresas

La ciberseguridad no es sólo para técnicos

Empresas

Andrés Pedreño sobre Inteligencia Artificial

Agenda eventos

Nuevas oportunidades de negocio: redes privadas 5G

Tecnología

“Zero Trust”: qué es y por qué conviene a tu empresa este modelo de ciberseguridad

Agenda eventos

La ciberseguridad no es sólo para técnicos: qué necesitas para proteger tu negoc

Agenda eventos

III EDICIÓN SEMANA online DE LAS TENDENCIAS e INFRAESTRUCTURAS TIC

Empresas

Andrés Pedreño sobre Inteligencia Artificial

Empresas

Premio "aleluIA": nuestro reconocimiento a la innovación en Asturias

Empresas

Las Jornadas Tecnológicas Telecable analizan las "INTELIGENCIAS"

Empresas

Live Shopping: qué es y por qué necesitas la mejor conexión de internet

Empresas

Power Platform: el poder de los nuevos desarrollos de la IA generativa

Empresas

Qué es el "mattering", la nueva tendencia de marketing empresarial