Navegar por el cambiante panorama de la seguridad de las redes y los sistemas de información es una preocupación fundamental en la era actual. A medida que la tecnología es más compleja, se hace más patente la necesidad de políticas y normativas exhaustivas para salvaguardar las infraestructuras críticas y los servicios digitales. Una de estas iniciativas, que alterará significativamente el panorama cibernético, es la Directiva NIS2.
Índice:
¿Qué es la Directiva NIS2 sobre ciberseguridad?
La Directiva NIS2, o Directiva sobre seguridad de las redes y sistemas de información 2, es la legislación de la UE sobre ciberseguridad. Se introdujo como un sólido paso adelante para elevar el nivel general de ciberseguridad en la Unión Europea. La Directiva NIS2 entró en vigor en 2023 con el objetivo de modernizar el marco jurídico existente de la Directiva NIS original que se introdujo en 2016.
Esta actualización responde a la creciente digitalización y a la evolución del panorama de las amenazas.
La Directiva NIS2 amplía su cobertura más allá del ámbito inicial. Amplía las normas de ciberseguridad a nuevos sectores y entidades. Se ha diseñado para reforzar la capacidad de resiliencia y de respuesta ante incidentes de las entidades públicas y privadas. Para ello, fomenta la preparación de los Estados miembros y la cooperación entre ellos.
Por ejemplo, ordena que los Estados miembros estén adecuadamente equipados. Esto incluye un Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT) y una autoridad nacional competente en redes y sistemas de información (NIS).
¿Cuáles son los principales objetivos de NIS2?
El principal objetivo de la Directiva NIS2 es fomentar una ciberseguridad sólida en toda la UE. Esto incluye salvaguardar sectores vitales de las ciberamenazas e fomentar la confianza en servicios importantes.
Y se hace de la siguiente forma:
Estableciendo un nivel normalizado de medidas de protección de la ciberseguridad en todos los Estados miembros de la UE.
Identificando y regulando claramente los sectores afectados por la directiva.
Ampliando las medidas de ciberseguridad y endureciendo las normas de notificación de incidentes.
Mejorando la cooperación y coordinación entre los Estados miembros para hacer frente a las ciberamenazas.
El objetivo de NIS2 es establecer un nivel normalizado de protección en todos los Estados miembros de la UE. Identifica claramente los sectores afectados y los requisitos mínimos de seguridad y unifica las obligaciones de notificación. También introduce medidas de ejecución y sanciones. El objetivo de estos esfuerzos es proteger las infraestructuras críticas y a los ciudadanos de la UE ante los ciberataques.
Una de las principales mejoras de NIS2 con respecto a su predecesora NIS 1 es su ámbito de aplicación específico. Entre los sectores afectados figuran el de la fabricación, la alimentación, los servicios de mensajería, el sector espacial y las infraestructuras digitales. Las organizaciones medianas y grandes que operan en estos sectores entran en el ámbito de aplicación de la NIS2.
La NIS2 distingue entre entidades "esenciales" e "importantes". Ambos tipos deben cumplir las mismas medidas de seguridad. Sin embargo, las entidades "esenciales" están bajo supervisión proactiva.
Los cambios incluyen el refuerzo de los requisitos de seguridad, la mejora del cumplimiento de la normativa, la notificación más estricta de los incidentes y la mejora de la cooperación. Tiene normas para la gestión de riesgos, la formación en ciberseguridad, la gestión de crisis y el cifrado de datos. Su objetivo es eliminar la flexibilidad que provocaba vulnerabilidades en la NIS original.
La notificación de incidentes tiene ahora nuevos plazos obligatorios más estrictos, con un informe inicial obligatorio en las 24 horas siguientes a un problema de ciberseguridad. Esto permite a las autoridades responder mejor a posibles amenazas. Además, NIS2 fomenta la cooperación y la comunicación entre los Estados miembros. Para ello, crea una Red Europea de Organizaciones de Enlace para la Cibercrisis. Esto hace que la seguridad de la red sea un esfuerzo colectivo.
¿Cómo afecta la Directiva NIS2 a las empresas?
La Directiva NIS2 amplía su ámbito de aplicación para abarcar una mayor variedad de empresas. Afecta especialmente a los proveedores de infraestructuras críticas dentro de la UE.
Por eso, es esencial que estas entidades comprendan lo que implica la directiva. Es posible que tengas que prepararte para una gestión de riesgos reforzada y para los requisitos de notificación de incidentes.
Uno de los aspectos clave que deben abordar las empresas con arreglo a la Directiva NIS2 es la seguridad de las redes y los sistemas de información.
Para cumplir los requisitos de la directiva, se espera que las empresas establezcan un sólido programa de gestión de riesgos de ciberseguridad. Este programa debe incluir medidas técnicas y organizativas que incluyan autenticación, autorización, cifrado y supervisión coherente para la seguridad de la red, los sistemas de información y las API.
Los pasos clave para crear un programa integral de seguridad de la red y de sistemas de información podrían incluir:
Realizar una evaluación exhaustiva de los riesgos de la ciberseguridad. Esto debería ayudar a identificar cualquier riesgo para su red, sistemas de información y API.
Aplicar medidas adecuadas para gestionar los riesgos identificados. Entre las medidas clave podrían figurar la autenticación, la autorización, el cifrado y la supervisión sistemática de la red y los sistemas de información.
Desarrollar mecanismos sólidos de notificación de incidentes. Debes establecer sistemas que puedan detectar y notificar incidentes de seguridad relacionados con tu red y tus sistemas de información.
Garantizar el cumplimiento de los reglamentos y normas pertinentes. Además de la Directiva NIS2, las empresas deben asegurarse de que cumplen otras normativas aplicables, como el RGPD y otras leyes pertinentes de protección de datos.
Formación y concienciación. Por último, las empresas deben educar a sus empleados, contratistas y proveedores externos sobre las prácticas de seguridad de las redes y los sistemas de información. Esto podría abarcar prácticas de codificación segura, prácticas de despliegue seguro y procedimientos de respuesta a incidentes.
Al centrarse en estos aspectos, las empresas pueden garantizar que están preparadas para la Directiva NIS2. Pueden proteger adecuadamente sus redes y sistemas frente a posibles ciberamenazas. Además, estarán en mejores condiciones de demostrar su cumplimiento a las autoridades nacionales de ciberseguridad, aumentando así la confianza en sus servicios o infraestructuras críticas.
¿A qué sectores afecta la NIS2?
La Directiva NIS2 amplía su alcance más allá de la Directiva NIS original, abarcando una gama más amplia de sectores.
Entre ellos figuran operadores de servicios esenciales en ámbitos como:
Energía
Transporte
Banca
Atención sanitaria
Proveedores de servicios digitales como mercados online, plataformas de redes sociales y motores de búsqueda
Investigación
Gestión de servicios TIC
Espacial
Entidades que prestan servicios de registro de nombres de dominio
Las empresas de estos sectores deben cumplir la normativa y los requisitos establecidos por la Directiva NIS2.
¿Cuándo entra en vigor la NIS2?
Los Estados miembros disponen de un plazo de 21 meses, hasta el 17 de octubre de 2024, para transponer a su legislación nacional las medidas previstas en la Directiva NIS2.
La consecuencia es clara: las empresas se deben preparar y adaptar al nuevo panorama de la seguridad de las redes y los sistemas de información.
Nuevas directivas sobre ciberseguridad: la Directiva CER
Más allá de la Directiva NIS2, otra legislación digna de mención es la Directiva Europea de Resiliencia de Entidades Críticas (CER). La principal diferencia entre NIS 2 y CER es que NIS 2 se centra en la ciberseguridad, y CER en la seguridad física frente a catástrofes naturales, inundaciones, incendios, etc.
La Directiva CER sustituye a la Directiva Europea sobre Infraestructuras Críticas de 2008. Introduce normas más estrictas para mejorar las infraestructuras críticas frente a las amenazas, incluidos los peligros naturales, los atentados terroristas, las amenazas internas y el sabotaje.
La Directiva CER entró en vigor el 16 de enero de 2023. Los Estados miembros tienen hasta el 17 de octubre de 2024 para transponer los requisitos de la Directiva CER a la legislación nacional. Para esa fecha, cada Estado miembro debe adoptar y publicar las medidas necesarias para cumplir la Directiva. Deberán aplicar esas medidas a partir del 18 de octubre de 2024.
En virtud de la Directiva CER, los Estados miembros deben elaborar una estrategia para mejorar la resiliencia de las entidades críticas antes del 17 de enero de 2026. Esta estrategia pretende reforzar la capacidad de las entidades críticas para prepararse, hacer frente, protegerse, responder y recuperarse de incidentes que puedan interrumpir la prestación de servicios esenciales.
La Directiva CER abarca once sectores: energía, transporte, banca, infraestructuras de los mercados financieros, atención sanitaria, agua potable, aguas residuales, infraestructuras digitales, administración pública, espacial y alimentación. Los Estados miembros deben adoptar una estrategia nacional y realizar evaluaciones periódicas de los riesgos.
En pocas palabras
La Directiva NIS2 está llamada a convertirse en un marco vital para la ciberseguridad en la UE. Las empresas incluidas en su ámbito de aplicación deben instalar rigurosas medidas técnicas, operativas y organizativas.
Se acerca la fecha límite para la adopción nacional de la Directiva. Las empresas deben empezar a prepararse para cumplir los requisitos de la NIS2.
En el contexto de la necesidad de cumplir la normativa NIS2, NordPass ofrece una valiosa ayuda como gestor de contraseñas. Sus funciones se han diseñado para mejorar la seguridad de las contraseñas de tu organización.
Una característica clave es el almacén de contraseñas cifradas. Este almacena de forma segura todas las contraseñas e información relacionadas con el trabajo utilizando el cifrado seguro XChaCha20. La arquitectura de conocimiento cero de NordPass garantiza que solo los usuarios autorizados puedan acceder a los datos.
NordPass también proporciona un generador de contraseñas. Permite crear fácilmente contraseñas fuertes y únicas, resistentes a los ataques de adivinación o de fuerza bruta. La función de seguridad de la contraseña te ayuda a evaluar la fortaleza y seguridad de tus contraseñas. Identifica cualquier punto débil o caso de reutilización de contraseñas que pueda poner en peligro tus cuentas.
Además, NordPass incluye un escáner de filtración de datos. Detecta automáticamente si alguno de los dominios o correos electrónicos de tu empresa se han visto comprometidos en filtraciones de datos. Esto te permite tomar medidas inmediatas para mitigar los posibles riesgos y proteger tus cuentas. La función de política de contraseñas te permite establecer una sólida política de contraseñas a nivel administrativo.
La función de registro de actividades de NordPass proporciona transparencia y responsabilidad. Esto te ayuda a mantener el control sobre los inicios de sesión de tu empresa. La autenticación multifactor añade una capa de seguridad, reduciendo así el riesgo de acceso no autorizado.
Estas funciones ayudan a las empresas a mejorar la seguridad de sus contraseñas y el cumplimiento de la normativa NIS2, lo que contribuye a crear un entorno digital más seguro y resiliente.