La Directiva NIS2: Lo que las empresas deben saber ahora mismo

Unas consideraciones sobre la Directiva NIS2

La Directiva NIS2 refuerza los requisitos mínimos para la seguridad de la TI de la infraestructura crítica y afecta significativamente a más organizaciones que su predecesora. ¿Qué cambios se avecinan? ¿Qué debería hacer para estar bien preparado? Encuentre las respuestas a las preguntas más importantes a continuación. 

¿En qué consiste la NIS2?

La Directiva NIS2 (Network and Information System 2) es una disposición legal que establece un objetivo a alcanzar por los países de la UE y que define unos requisitos mínimos para la ciberseguridad de la infraestructura crítica. Con su implementación, la Comisión Europea pretende mejorar el nivel de ciberseguridad de la Unión Europea y fortalecer la cooperación internacional para hacer frente a los ciberataques. La NIS2 lleva vigente desde el 16 de enero de 2023 y los Estados Miembros deben incorporarla en su legislación nacional antes del 17 de octubre de 2024. Esto ayudará a unas 160.000 entidades a reforzar su control de la seguridad y a hacer de Europa un lugar seguro para vivir y trabajar. También permitirá compartir información con el sector privado y socios de todo el mundo. Si estamos siendo atacados a escala industrial, debemos responder a escala industrial.

nis2

¿Cuáles son las implicaciones de NIS2?

Para estar bien preparadas, las organizaciones deberían abordar la directiva ahora mismo, en lugar de esperar hasta que se hayan finalizado los borradores del gobierno local. Después de todo, introducir medidas de seguridad lleva tiempo y los recursos de asesoramiento suelen escasear si las cosas se dejan para el último minuto.

Los cambios más importantes de la NIS2 de un vistazo

La Directiva NIS2 actualiza y reemplaza la Directiva NIS 2016. Los cambios más importantes son los siguientes:

  • Afecta a un número significativamente mayor de organizaciones. El número de sectores ha aumentado a 18. Se han añadido siete nuevos sectores importantes y se han reducido los umbrales.
  • Las organizaciones deben poder evaluar el riesgo de un ciberataque en toda su cadena de suministro.
  • La gestión del riesgo cibernético se ha convertido en obligatoria.
  • Las organizaciones deben proporcionar una formación para los empleados y auditorías completas en materia de ciberseguridad.
  • La dirección es personalmente responsable de cualquier daño causado como consecuencia del incumplimiento de sus obligaciones de gestión del riesgo cibernético.
  • Se pueden imponer diversas sanciones en caso de infracción.
  • Es obligatorio adherirse a estrictos requisitos de presentación de informes. La autoridad supervisora es la Oficina Federal para la Seguridad de la Información (BSI).
  • Los Estados Miembros deben designar a un CSIRT (Equipo de respuesta ante incidentes de seguridad informática) nacional. Haga clic aquí para encontrar más información específica del país.

¿La NIS2 me afecta?

Las organizaciones deben aclararse ellas mismas si entran dentro del alcance de la NIS2 y, si es necesario, deben registrarse en la BSI. Los criterios son los siguientes:

Ya fue una infraestructura crítica expand_more

Ya fue una infraestructura crítica

Entonces automáticamente se ve afectado la NIS2. 

Usted pertenece a uno de los 18 sectores expand_more

Usted pertenece a uno de los 18 sectores

Y también tiene al menos 50 empleados y una facturación anual mínima de 10 millones de euros.

Sectores esenciales frente a sectores importantes expand_more

Sectores esenciales frente a sectores importantes

La Directiva NIS2 diferencia entre sectores esenciales y sectores importantes, así como entre sectores de tamaño grande y mediano. Esta categorización afecta en el ámbito de las sanciones y supervisión por parte de las autoridades.

Tamaño de la empresa expand_more

Tamaño de la empresa

Los siguientes umbrales se aplican en los sectores:

  • Empresas de tamaño medio = entre 50 y 249 empleados, facturación menor que 50 millones de euros y/o un balance financiero por debajo de los 43 millones de euros.
  • Empresas de gran tamaño = al menos 250 empleados, facturación mínima de 50 millones de euros y/o un balance financiero mínimo de 43 millones de euros.
Casos especiales expand_more

Casos especiales

Hay varios casos especiales incluidos en la categoría de sectores esenciales afectados por la Directiva NIS2 con independencia de su tamaño, tal y como los prestadores cualificados de servicios de confianza, Registros TLD y proveedores de servicios DNS.

Sectores esenciales y sectores importantes

La Directiva NIS2 identifica los siguientes 18 sectores

Sectores esenciales

  • Energía (electricidad, petróleo, agua, hidrógeno)
  • Salud (hospitales, laboratorios, desarrollo e investigación, farmacéutico, fabricantes de dispositivos médicos)
  • Transporte (aire, ferroviario, agua, carretera)
  • Banca y finanzas
  • Agua potable
  • Aguas residuales
  • Infraestructura digital (puntos de intercambio de internet, proveedores de nube, datacenters, CDN, TSP, proveedores de comunicaciones electrónicas)
  • Gestión de servicios de TIC en B2B
  • Espacial
  • Administración pública (gobierno central, gobierno regional)

Sectores importantes

  • Servicios de correo y mensajería
  • Gestión de residuos
  • Productos químicos
  • Alimentación
  • Industrias de fabricación/procesamiento
  • Servicios digitales (marketplaces online, motores de búsqueda, redes sociales)
  • Investigación
imagen

¿Proporciona suministro a algún sector esencial o importante?

Entonces la NIS2 también le afecta de manera indirecta, dado que la directiva requiere la identificación de los proveedores de infraestructura crítica, así como de los 18 sectores esenciales e importantes, con el fin de considerar la ciberseguridad en sus cadenas de suministro. Aquellos que deseen continuar recibiendo pedidos deben asumir que en el futuro, los debates sobre ciberseguridad serán la norma en las negociaciones de contratos. 

Requisitos de la Directiva NIS2 para los CEO/la directiva

La NIS2 pone énfasis en que la gestión del riesgo cibernético forme parte de la gestión del riesgo corporativo, y por un buen motivo, dado que los ciberataques son el mayor riesgo al que se enfrentan las empresas hoy en día. Garantizar la continuidad de la actividad es especialmente importante en el área de la infraestructura crítica. Es por esto que la NIS2 responsabiliza a los CEO: deben fomentar medidas para la gestión del riesgo cibernético y supervisar la implementación. Los CEO que no cumplan con sus obligaciones de gestión del riesgo cibernético son responsables personalmente por los riesgos y/o daños asociados.

Para los CEO que no tienen mucha relación con la ciberseguridad, la gestión del riesgo cibernético supone una nueva área. En la práctica, la NIS2 supone que los CEO deben poder identificar y evaluar los riesgos cibernéticos, así como también decidir cuáles son aceptables para la organización y cuáles no. Esto implica considerar la probabilidad y el alcance esperado del daño de los ciberataques en su organización. Una condición previa fundamental es realizar reuniones regulares con las personas responsables de la seguridad de la TI. Independientemente de ello, según un estudio realizado por Trend Micro, el 51 % de los equipos de TI incluidos en la encuesta ya están en contacto con la directiva acerca de los riesgos cibernéticos una vez por semana.

Gestión del riesgo cibernético más fácil con ASRM expand_more

Gestión del riesgo cibernético más fácil con ASRM

La Gestión de riesgos de la superficie de ataque (ASRM) de Trend Micro utiliza IA para calcular automáticamente la puntuación de riesgo de su entorno de TI. Durante este proceso, la tecnología aborda su entorno desde la perspectiva del atacante: recopila datos internos procedentes de sensores conectados y los correlaciona con información de seguridad de interminables fuentes externas, incluidas publicaciones de agencias gubernamentales, organizaciones policiales, compañías de seguridad y analistas. Un panel de control proporciona una descripción general y elementos visuales similares a semáforos comunican inmediatamente el nivel de peligrosidad del riesgo calculado. La ASRM le alertará tan pronto como se exceda un umbral específico y le mostrará la información correspondiente, tal y como qué sistemas se han visto afectados. También recomienda contramedidas e incluso le permite abordar automáticamente los riesgos.

Minimice el alcance del daño con XDR expand_more

Minimice el alcance del daño con XDR

Dado que no es posible eliminar por completo todos los riesgos, debería siempre considerar la posibilidad de un ataque, incluso a pesar de implementar las mejores medidas de seguridad. Con el fin de minimizar el alcance del daño, debería poder detectar y detener rápidamente todo incidente que pueda surgir. La mejor manera de hacerlo es utilizando Trend Micro XDR (Detección y respuesta extendidas). XDR logra la transparencia en todo su entorno de TI, recopila información sobre seguridad de todos los sistemas conectados y utiliza IA para correlacionarlos y convertirlos en alertas accionables. Esto reduce el número de falsos positivos, permitiéndole ver de un vistazo lo que ha ocurrido, qué sistemas están afectados y dónde es necesaria una acción.

De qué manera ASRM y XDR trabajan juntos expand_more

De qué manera ASRM y XDR trabajan juntos

ASRM y XDR están ambos integrados en la plataforma de ciberseguridad Trend Vision One, desde donde se pueden controlar y supervisar de forma centralizada. Ambas tecnologías acceden a los mismos sensores y se comunican entre sí. Si la ASRM detecta un riesgo, el XDR lo investigará en profundidad, y si el XDR detecta señales de un ciberataque, la ASRM inmediatamente ajustará el estado del riesgo. Juntas, ambas tecnologías minimizan tanto la probabilidad de un ciberataque como el alcance del daño.

Logotipo de Customers’ Choice de Gartner Peer Insights

Trend Micro reconocido como líder

Forrester Wave™: Endpoint Security, cuarto trimestre de 2023

Trend Micro consiguió la máxima puntuación en la categoría de Estrategia con las puntuaciones más altas posibles en Innovación, Hoja de ruta y Adopción.

Posibles soluciones para la NIS2

Las soluciones de Trend Micro que respaldan la implementación de las obligaciones

imagen

Requisitos de la Directiva NIS2 para directores de cumplimiento de normativa

Para garantizar que su organización cumple con la NIS2, debe estar muy familiarizado con los requisitos regulatorios, documentar las medidas tomadas y revisar su efectividad. También debe proporcionar formación para aumentar la consciencia entre los empleados acerca del cumplimiento de la normativa NIS2. En caso de verse afectado por un ciberataque, debe tener en marcha un procedimiento para informar sobre el incidente de forma oportuna a la BSI dentro de un plazo de 24 horas.

Los requisitos finales en cada estado miembro solo se aclararán en cuanto cada estado apruebe la ley sobre la implementación de la NIS2. Hasta entonces, la recomendación es familiarizarse con el estado actual de la legislación respecto a la Ley de seguridad de cada estado miembro (y la directiva Europea para NIS2).

NIS2 y GDPR

El GDPR tendrá un rango superior a la NIS2. En caso de incidentes que impliquen ambas leyes, la gravedad de las sanciones se basarán en el GDPR. Las multas estipuladas por el GDPR para las filtraciones especialmente serias suponen más del doble y pueden rozar los 20 millones de euros o el 4 % de la facturación anual.

Wachsen Sie mit Trend Micro – Image

Preguntas frecuentes

¿Qué sanciones se pueden imponer en caso de incumplimiento de la Directiva NIS2?

Aquellos que no cumplan con sus obligaciones respecto a la NIS2 deben esperar graves sanciones. La implementación de la directiva establece distintas multas aplicables a sectores importantes o proveedores de infraestructura crítica y sectores esenciales. En caso de infracciones comunes, se aplican las mismas sanciones graves a todos los grupos.

  • Infracciones comunes: hasta 2 millones de euros
  • Sectores importantes: hasta 7 millones de euros o 1,4 % de la facturación anual
  • Proveedores de infraestructura crítica y sectores esenciales: hasta 10 millones de euros o 2 % de la facturación anual

Recursos importantes

Demo

Descripción general de NIS2

Cómo apoya Trend Micro su proceso de cumplimiento de NIS2

Demo

Directiva NIS2: Todo lo que necesita saber

Los principales cambios en las nuevas directivas NIS2 son

Demo

La clave de NIS2 es la gestión de riesgos

En este webinar, analizamos la nueva Directiva NIS 2 y descubrimos por qué adoptar un enfoque de la ciberseguridad basado en el riesgo es crucial para las empresas hoy en día

ÚNASE A MÁS DE 500.000 CLIENTES GLOBALES

Póngase en marcha con Trend hoy mismo