La Directiva NIS 2 es un paso más en el camino que ha emprendido la Unión Europea para contar con regulaciones más estrictas para proteger la información y los datos de los consumidores y usuarios.
La Directiva NIS 2 es, como lo sugiere su nomenclatura, una edición revisada de la Directiva sobre Seguridad de Redes y Sistemas Informáticos, publicada en agosto del año 2017.
La Directiva NIS ha demostrado ser un instrumento regulatorio efectivo en el propósito de garantizar la seguridad cibernética en el continente europeo. La Directiva NIS 2, entró en vigor en octubre de 2023. Han pasado algunos meses, pero aún es momento oportuno para que las organizaciones puedan preparar y planificar la actualización requerida. Para ello, es importante conocer las novedades y los puntos de diferencia entre una y otra edición de la Directiva.
¿Cuál es la diferencia estructural entre la Directiva NIS 2 y su antecesora?
NIS, publicada en 2017, representa un hito en la Gestión de Riesgos Cibernéticos. Sin embargo, la emergencia sanitaria de los años 2019 y 2020 trajo consigo un conjunto de nuevas realidades que configuran un escenario proclive a riesgos de Seguridad de Datos, de Seguridad de la Información y, en especial, de ataques cibernéticos.
La complejidad de las nuevas amenazas evidenció la necesidad de revisar y modificar la Directiva NIS. NIS 2 es el resultado de ese trabajo. Es importante recalcar que, tras la emergencia sanitaria los modelos de cadena de suministro cambiaron a nivel global.
Ahora la globalización, y por ello la dependencia de la interacción en la red, se acentúan y generan nuevas amenazas para todo tipo de organizaciones. La Directiva NIS 2 acepta las limitaciones que su antecesora tenía, en gran parte porque fue diseñada antes de que se presentarán los vertiginosos cambios en el comercio digital.
Algunas de las limitaciones que aborda la Directiva NIS 2, que no fueron consideradas en la edición original son:
- Resiliencia de las organizaciones frente a amenazas de ciberseguridad: NIS 2 no solo se ocupa de minimizar el riesgo y su impacto. Habla sobre la recuperación y sobre la operación segura mínima que asegure la continuidad del negocio.
- Responsabilidades y preparación de los estados: que necesitan tomar medidas para ser resilientes, como estados, y como apoyo para las organizaciones.
- Coordinación y comprensión entre los Estados de la Unión: sobre temas esenciales como las amenazas, la información compartida sobre riesgos y sobre infractores y los desafíos que plantea la ciberseguridad hoy en el planeta.
- Mecanismos para una respuesta conjunta: de estados, organismos reguladores, organismos y comunidad.
En el fondo, la Directiva NIS 2 amplía el número de involucrados en la seguridad cibernética, al incluir estados, entidades, reguladores, entre otros. Pero también establece mecanismos que promueven la colaboración y la colaboración, especialmente en temas tan sensibles como información compartida.
Actualízate con la #DirectivaNIS2 de la Unión Europea sobre #ciberseguridad y riesgos cibernéticos. Recuerda que debes actualizar tu organización y qué #ISO27001 será un gran aliado. Share on X¿Cuáles son los elementos clave de la Directiva NIS 2?
Las novedades expuestas se abordan a través de cinco elementos clave. Son relevantes y en ellos se enfoca la atención para las organizaciones, estados y otro tipo de entidades que ahora entran dentro del espectro de la Directiva NIS 2. Son estos:
1. Alcance
La nueva directiva amplia el alcance incorporando sectores que considera estratégicos, por su necesidad de interconexión y digitalización. En cuanto a organizaciones el alcance aumenta hasta vincular pequeñas y medianas organizaciones, dejando un margen para que los estados puedan incluir entidades de escaso tamaño, pero con vulnerabilidades evidentes o que formen parte de cadenas de suministro relevantes.
2. Requisitos
Los requisitos y medidas regulatorias sobre seguridad y sobre presentación de informes aumentan, al mismo tiempo que aumenta el número de entidades obligadas. Las categorías de entidades se simplifican al eliminar la distinción entre operadores de servicios esenciales y de servicios digitales existentes en la NIS de 2017.
3. Presentación de informes
La presentación de informes encuentra ahora cronogramas y contenidos de ayuda para facilitar la tarea. La tarea de los estados es, de acuerdo con estas instrucciones y fechas de presentación, coordinar y armonizar una escala de sanciones para las entidades que no cumplan.
4. Coherencia y coordinación
La tarea de velar por la ciberseguridad no corresponde de forma unitaria a la Directiva NIS2. Los estados, ENISA – Agencia de la Unión Europea para la Ciberseguridad – y la misma Comisión, necesitan coordinar esfuerzos para evaluar riesgos, establecer puntos críticos, crear sistemas de penalización coherentes, generando así un eficaz Grupo de Cooperación que tome decisiones estratégicas efectivas.
5. Base de datos unificada
Tal vez una de las más interesantes novedades que propone la Directiva NIS 2 es la creación de una base de datos de vulnerabilidades unificada para la Unión Europea, gestionada y operada por ENISA.
¿Qué tienen que hacer las organizaciones con respecto a la Directiva NIS 2?
Lo primero que tienen que hacer las organizaciones es ajustar sus controles y optimizar sus procesos para identificar, prevenir y tratar riesgos de ciberseguridad. Las evaluaciones de riesgos necesitan ser más estrictas y efectivas.
La implementación de estándares internacionales reconocidos, como ISO 27001, se convierte en un factor decisivo para el cumplimiento de la Directiva. ISO 27001 permite a la organización adoptar controles operativos efectivos, para gestionar los riesgos de ciberseguridad o cualquier otra amenaza sobre los datos o la información que trata la organización en cualquiera de sus áreas.
¿Qué solicita la Directiva NIS 2 para gestionar los riesgos?
El objetivo principal es eliminar amenazas. De no ser posible, se solicita implementar controles para minimizar el impacto negativo. La Directiva solicita a las organizaciones, entidades y estados vinculados que tomen las siguientes acciones:
- Crear políticas claras sobre riesgos cibernéticos, seguridad de los Sistemas de Información y Gestión de incidentes e infracciones.
- Diseñar planes que garanticen la continuidad del negocio, en los que se incluyan aspectos como copias de seguridad, protocolos de acción ante eventos disruptivos, gestión de incidentes críticos, entre otros.
- Gestionar riesgos en la cadena de suministro, en todas las ramificaciones, vigilando de forma especial, controlando riesgos hasta un determinado nivel (proveedores de proveedores directos), y las relaciones entre organizaciones.
- Vigilancia de riesgos en la adquisición o contratación de redes y sistemas informáticos, o de servicios de transmisión o tratamiento de datos e información.
- Diseñar e implementar mecanismos de monitoreo y supervisión, para evaluar la efectividad de la gestión de riesgos de ciberseguridad.
- Establecer y satisfacer las necesidades de formación específicas y generales, técnicas y conceptuales, sobre ciberseguridad y Seguridad de la Información.
- Establecer procedimientos estrictos sobre el uso de encriptado y cifrado de datos e información.
- Crear políticas y procedimientos fuertes sobre acceso, privilegios, conservación y almacenamiento seguro de información, datos y activos de información.
Las organizaciones que ya han implementado un Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001 notarán que tienen poco que hacer para alcanzar la conformidad con la Directiva NIS 2. Las que no lo han hecho, tienen la oportunidad de cumplir con lo solicitado y, de paso, proteger todos sus datos e informes, incluso los que se presentan en papel o por transmisión verbal.
Unas y otras pueden invertir en sensibilización y formación de cultura de Seguridad de la Información. Una opción muy interesante es la que sigue:
Diplomado de Seguridad de la Información ISO/IEC 27001
El Diplomado de Seguridad de la Información ISO/IEC 27001 es el programa de la Escuela Europea de Excelencia responsable de formar los profesionales que asumirán la tarea de garantizar la integridad, confidencialidad y almacenamiento seguro de toda la información de la organización.
Estos profesionales también serán los encargados de velar por el cumplimiento de regulaciones como la Directiva que hoy nos ocupa. Hay aquí una oportunidad sin igual para obtener una posición de liderazgo y alto reconocimiento en cualquier organización. Aprovéchala ahora.