La normativa europea sobre ciberseguridad

La Directiva NIS2 es la pieza fundamental de la legislación europea en el ámbito de la ciberseguridad. Sus medidas pretenden garantizar la seguridad de las redes y sistemas de información en el conjunto del territorio de la UE, algo esencial en tiempos de digitalización y con los ‘ciberdelitos’ en auge, tanto en grandes empresas como en pymes.

La Directiva NIS2 se publicó a finales de 2022 y establece la obligación para todos los Estados miembros de adoptar una Estrategia Nacional de Seguridad. Serán ellos quienes decidan cómo llevar a la práctica las normas y objetivos de la NIS2. Los diferentes países comparten un Grupo de Cooperación internacional que facilita la colaboración y el intercambio de información y una red de equipos europea pensada para dar respuesta a incidentes de seguridad informáticos (red CSIRT).

Con todo ello se está trabajando y avanzando en la legislación sobre ciberseguridad en cada territorio. Según lo acordado, las principales medidas ya deberían estar aplicándose en octubre de 2024.

A quién va dirigida la Directiva NIS2

Esta directiva se dirige, principalmente, a las empresas consideradas como esenciales o importantes. Son definidas por cada país, aunque la normativa europea ya apunta y define de manera general qué se consideran servicios esenciales, proveedores de servicios digitales, además de sectores, subsectores e infraestructuras estratégicas y críticas.

Por ejemplo, un servicio esencial es aquel que resulta necesario para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos o el eficaz funcionamiento de las administraciones públicas. Y para la provisión de esos servicios esenciales se requieren operadores que hagan uso de infraestructuras y/o redes que se entienden como críticas.

Por otro lado, varios sectores figuran en la lista que recoge el ámbito de aplicación de la NIS2: energía, transporte, banca, mercados financieros, sanidad, suministro de agua e infraestructuras digitales.

Cómo afecta a las pymes

Aunque no sean catalogadas como empresas esenciales, las pymes también deberían adoptar varias medidas en materia de ciberseguridad y, en particular, determinadas prácticas de ‘ciberhigiene’:

Seguir los principios de “confianza cero”.
Realizar actualizaciones de software.
Configurar de manera segura los dispositivos.
Segmentar la red.
Implantar la gestión de identidades y acceso.
Concienciar a los/as usuarios/as y organizar formaciones para su personal.
Sensibilizar sobre las ‘ciberamenazas’, phishing o técnicas de ingeniería social

SCUDO y la NIS2

¿Sabías que todas estas medidas a las que se refiere la Directiva NIS2 están cubiertas con SCUDO, la ciberseguridad integral de R empresas para las pymes?

Scudo permite a las pymes contar con una solución de seguridad digital integral muy completa y con las prestaciones más avanzadas.

Se trata de una herramienta pensada y orientada especialmente a pymes y negocios, basada en herramientas tecnológicas punteras, buenas prácticas y mediante la que siempre cuentas con el respaldo continuo de un equipo de expertos.

Principales medidas

Una vez definido a quién y cómo aplica, es hora de llevar a la práctica las medidas que pone sobre la mesa la Directiva NIS2. Estas acciones tendrán en cuenta todos aquellos peligros que amenacen los sistemas de redes e información y su entorno físico. De manera general, se establecen unos mínimos necesarios, relativos a los siguientes aspectos:

Políticas de seguridad de sistemas de información y análisis de riesgos.
Seguridad en la adquisición, desarrollo y mantenimiento de redes e información.
Gestión de incidentes.
Continuidad de las actividades (incluye, por ejemplo, la gestión de copias de seguridad).
Seguridad de la cadena de suministro, teniendo en cuenta también a proveedores o prestadores de servicios directos.
Prácticas básicas de ‘ciberhigiene’ como los principios de “confianza cero”, actualizaciones de software, configuración de dispositivos, segmentación de la red, gestión de la identidad o acceso a la concienciación de usuarios/as, con especial atención a los sistemas de aprendizaje automático y a las soluciones basadas en Inteligencia Artificial.
Formación en ciberseguridad.
Políticas y procedimientos relativos a la utilización de criptografía y cifrado.
Seguridad de recursos humanos y activos.
Soluciones de autenticación multifactorial o continua, comunicaciones de voz, vídeo y texto seguras.

Además, la normativa introduce conceptos como el Indicador de peligrosidad, que diferencia entre crítico, muy alto, alto, medio y bajo y determina la potencial amenaza que supondría la materialización de un incidente en los sistemas de información o comunicación del ente afectado, y el Indicador de Impacto de un ‘ciberincidente’, evaluando sus consecuencias en actividades, activos o individuos.

Novedades de la nueva directiva

La Directiva NIS2 sustituye a la primera Directiva NIS1 (publicada en 2016) y va un paso más allá en cuanto al refuerzo de requisitos de seguridad y la manera de abordarla en las cadenas de suministro. Al mismo tiempo, simplifica las obligaciones de notificación de incidentes e introduce normas, medidas de supervisión y requerimientos más estrictos y sanciones armonizadas en toda la UE.

También amplía el alcance cubierto por NIS1, al obligar efectivamente a más entidades y sectores a tomar medidas. Ahora incluye a administraciones públicas, sector espacial o subsector del hidrógeno, además de entidades importantes y cadenas de suministro.

El objetivo es aumentar el nivel de ciberseguridad en Europa a largo plazo.

En concreto, la Directiva NIS2 identifica varios objetivos:

Aumentar el nivel de ‘ciberresiliencia’ de todas las entidades públicas y privadas que cumplen funciones importantes para la economía y la sociedad en la Unión Europea.
Reducir las incoherencias en materia de resiliencia en los sectores ya cubiertos por la Directiva NIS1.
Mejorar el nivel de conocimiento conjunto de la situación y la capacidad colectiva para prepararse y responder a los ataques.

Con esta Directiva NIS2, Europa quiere hacer frente a los ‘ciberdelitos’ y las amenazas cibernéticas, y establecer medidas conjuntas que ayuden a las empresas y al conjunto de la sociedad a cuidar la ciberseguridad.

Si quieres saber más sobre nuestras soluciones tecnológicas para empresas suscríbete a nuestro boletín o contacta con tu asesor/a personal o con nuestro equipo del área comercial empresas a través del siguiente formulario. Y para estar al día de las últimas noticias síguenos en LinkedIn.

La normativa europea sobre ciberseguridad

A quién va dirigida la Directiva NIS2

Cómo afecta a las pymes

SCUDO y la NIS2

Principales medidas

Novedades de la nueva directiva

Lo + leído

Alianzas

R y S2 Grupo se unen para cuidar la ciberseguridad de tu empresa

Términos de ciberseguridad

Hacking

Términos de ciberseguridad

Malware

Términos de ciberseguridad

Phishing

Empresas

Qué es la Inteligencia Artificial Explicable (XAI)

Eventos

APD Talks | ¿por qué deberían las empresas apostar por la computación en la nube

Alianzas

R y S2 Grupo se unen para cuidar la ciberseguridad de tu empresa

Términos de ciberseguridad

Hacking

Términos de ciberseguridad

Malware

Empresas

Qué es la Inteligencia Artificial Explicable (XAI)

Empresas

Andrés Pedreño, sobre Inteligencia Artificial

Empresas

Premio "aleluIA": reconocimiento a la innovación en Galicia

Empresas

Las Xornadas Tecnolóxicas R analizan las "INTELIXENCIAS"

Empresas

Live Shopping: qué es y por qué necesitas la mejor conexión de internet

Empresas

Talleres del dato: aplicación de la IA, análisis y más