A Directiva NIS2 é a peza fundamental da lexislación europea no ámbito da ciberseguridade. As súas medidas pretenden garantir a seguridade das redes e sistemas de información no conxunto do territorio da UE, algo esencial en tempos de dixitalización e cos ciberdelitos en auxe, tanto en grandes empresas como en pemes.

A Directiva NIS2 publicouse a finais de 2022 e establece a obriga para todos os Estados membros de adoptar unha Estratexia Nacional de Seguridade. Serán eles quen decidan como levar á práctica as normas e obxectivos da NIS2. Os diferentes países comparten un Grupo de Cooperación internacional que facilita a colaboración e o intercambio de información e unha rede de equipos europea pensada para lles dar resposta a incidentes de seguridade informáticos (rede CSIRT).

Con todo iso estase a traballar e avanzar na lexislación sobre ciberseguridade en cada territorio. Segundo o acordado, as principais medidas xa deberían aplicarse en outubro de 2024.

A quen vai dirixida a Directiva NIS2

Esta directiva diríxese, principalmente, ás empresas consideradas como esenciais ou importantes. Son definidas por cada país, aínda que a normativa europea xa apunta e define de maneira xeral que se consideran servizos esenciais, provedores de servizos dixitais, ademais de sectores, subsectores e infraestruturas estratéxicas e críticas.

Por exemplo, un servizo esencial é aquel que resulta necesario para o mantemento das funcións sociais básicas, a saúde, a seguridade, o benestar social e económico dos cidadáns ou o eficaz funcionamento das administracións públicas. E para a provisión deses servizos esenciais requírense operadores que fagan uso de infraestruturas e/ou redes que se entenden como críticas.

Doutra banda, varios sectores figuran na listaxe que recolle o ámbito de aplicación da NIS2: enerxía, transporte, banca, mercados financeiros, sanidade, subministración de auga e infraestruturas dixitais.

Como lles afecta ás pemes

Aínda que non sexan catalogadas como empresas esenciais, as pemes tamén deberían adoptar varias medidas en materia de ciberseguridade e, en particular, determinadas prácticas de ‘ciberhixiene’:

• Seguir os principios de “confianza cero”.

• Realizar actualizacións de software.

• Configurar de maneira segura os dispositivos.

• Segmentar a rede.

• Implantar a xestión de identidades e acceso.

• Concienciar os/as usuarios/as e organizar formacións para o seu persoal.

• Sensibilizar sobre as ‘ciberameazas’, phishing ou técnicas de enxeñería social.

SCUDO e a NIS2

¿Sabías que todas estas medidas ás que se refire a Directiva NIS2 están cubertas con SCUDO, a ciberseguridade integral de R empresas para as pemes?

Scudo permite ás pemes contar cunha solución de seguridade dixital integral moi completa e coas prestacións máis avanzadas.

Trátase dunha ferramenta pensada e orientada especialmente a pemes y negocios, baseada en ferramentas tecnolóxicas punteiras, boas prácticas e mediante a que sempre contas co respaldo continuo dun equipo de expertos.

Principais medidas

Unha vez definido a quen e como aplica, é hora de levar á práctica as medidas que pon sobre a mesa a Directiva NIS2. Estas accións terán en conta todos aqueles perigos que ameazen os sistemas de redes e información e a súa contorna física. De maneira xeral, establécense uns mínimos necesarios, relativos aos seguintes aspectos:

Políticas de seguridade de sistemas de información e análise de riscos.

• Seguridade na adquisición, desenvolvemento e mantemento de redes e información.

• Xestión de incidentes.

Continuidade das actividades (inclúe, por exemplo, a xestión de copias de seguridade).

• Seguridade da cadea de subministración, tendo en conta tamén a provedores ou prestadores de

servizos directos.

• Prácticas básicas de ciberhixiene, como os principios de “confianza cero”, actualizacións de software, configuración de dispositivos, segmentación da rede, xestión da identidade ou acceso á concienciación de usuarios/as, con especial atención aos sistemas de aprendizaxe automática e ás solucións baseadas en Intelixencia Artificial.

Formación en ciberseguridade.

• Políticas e procedementos relativos á utilización de criptografía e cifrado.

• Seguridade de recursos humanos e activos.

• Solucións de autenticación multifactorial ou continua, comunicacións de voz, vídeo e texto

seguras.

Ademais, a normativa introduce conceptos como o Indicador de perigosidade, que diferencia entre crítico, moi alto, alto, medio e baixo e determina a potencial ameaza que supoñería a materialización dun incidente nos sistemas de información ou comunicación do ente afectado, e o Indicador de Impacto dun ‘ciberincidente’, avaliando as súas consecuencias en actividades, activos ou individuos.

Novidades da nova directiva

A Directiva NIS2 substitúe á primeira Directiva NIS1 (publicada en 2016) e vai un paso máis aló en canto ao reforzo de requisitos de seguridade e á maneira de abordar a seguridade das cadeas de subministración. Ao mesmo tempo, simplifica as obrigas de notificación de incidentes e introduce normas, medidas de supervisión e requirimentos máis estritos e sancións harmonizadas en toda a UE.

Tamén amplía o alcance cuberto por NIS1, ao obrigar efectivamente a máis entidades e sectores a tomar medidas. Agora inclúe a administracións públicas, sector espacial ou subsector do hidróxeno, ademais de entidades importantes e cadeas de subministración.

O obxectivo é aumentar o nivel de ciberseguridade en Europa a longo prazo.

En concreto, a Directiva NIS2 identifica varios obxectivos:

Aumentar o nivel de ‘ciberresiliencia’ de todas as entidades públicas e privadas que cumpren funcións importantes para a economía e a sociedade na Unión Europea.

Reducir as incoherencias en materia de resiliencia nos sectores xa cubertos pola Directiva NIS1.

Mellorar o nivel de coñecemento conxunto da situación e a capacidade colectiva para prepararse e responder aos ataques.

Con esta Directiva NIS2, Europa quere facer fronte aos ciberdelitos e ás ameazas cibernéticas e establecer medidas conxuntas que lles axuden ás empresas, e ao conxunto da sociedade, a coidar a ciberseguridade.

Se queres saber máis sobre as nosas solucións tecnolóxicas para empresas, subscríbete ao noso boletín ou contacta co/coa teu/túa asesor/a persoal ou co noso equipo da área comercial empresas a través do seguinte formulario. E para estar ao día das últimas noticias ººsíguenos en LinkedIn.