Precios
Prueba

Requisitos de NIS2 | Lista de comprobación

La Directiva sobre Seguridad de las Redes y de la Información 2 (NIS2) es una Directiva de la UE relativa a la ciberseguridad de las redes y los sistemas de información.

Requisitos de NIS2 | Lista de comprobación

La Directiva sobre Seguridad de las Redes y de la Información 2 (NIS2 ) es una Directiva de la UE relativa a la ciberseguridad de las redes y los sistemas de información. Las organizaciones clasificadas como esenciales o importantes en la Directiva NIS2 deben cumplir sus normas.

¿Quién debe cumplir el NIS2?

Las organizaciones clasificadas como esenciales o importantes son básicamente las que prestan servicios o suministran productos de los que depende el buen funcionamiento de la sociedad. Puede tratarse de organizaciones de sectores como el transporte, el suministro de agua, el suministro de energía, la gestión de residuos, etc.

Por regla general, sólo están sujetas al NiS2 las organizaciones categorizadas como esenciales o importantes y que tengan al menos 50 empleados o un volumen de negocios o balance anual superior a 10 millones de euros. Las organizaciones más pequeñas también pueden estar sujetas al NiS2 si son de especial importancia para la sociedad o la economía, por ejemplo, un proveedor único de un servicio crítico.

Gestión de riesgos

El Artículo 21(1) de la NIS2 exige que adoptes un enfoque basado en el riesgo y que apliques las medidas de seguridad necesarias para proteger tus servicios importantes en función del riesgo al que se enfrentan. Por tanto, son las circunstancias específicas de tu organización las que determinan qué medidas de seguridad debes aplicar.

Por tanto, la gestión de riesgos se convierte en la base de tu cumplimiento de la norma NIS2, y debes desarrollar y aplicar una metodología de evaluación de riesgos adecuada a tu organización. Independientemente de tu evaluación de riesgos, debes aplicar los requisitos mínimos.

Requisitos mínimos de NIS2

El Artículo 21(2) de la NIS2 tiene una serie de requisitos mínimos que todas las organizaciones deben seguir, independientemente de su evaluación de riesgos. A continuación te ofrecemos una breve introducción a estos requisitos mínimos.

Política de Gestión de Riesgos y Seguridad de la Información

Tu organización debe tener una política de seguridad de la información clara y basada en los riesgos. Esta política establece el marco de cómo gestionas la seguridad y garantiza que tus medidas son adecuadas a tus riesgos, objetivos empresariales y obligaciones legales.

Lee la guía NIS2: Gestión de riesgos y política de seguridad de la información.

Gestión de incidentes

Debes ser capaz de detectar, informar y responder a los incidentes. Esto significa disponer de procedimientos claros para identificar los incidentes, analizar su impacto, restablecer las operaciones y aprender de lo ocurrido para evitar problemas similares en el futuro.

Lee la guía NIS2: Gestión de Incidentes.

Continuidad empresarial

NIS2 exige que te prepares para las interrupciones. La planificación de la continuidad de la actividad garantiza que tus operaciones críticas puedan continuar durante una crisis y que los sistemas y servicios puedan restablecerse de forma controlada y oportuna.

Lee la guía NIS2: Continuidad de negocio.

Seguridad de la cadena de suministro

Tus proveedores y prestadores de servicios pueden ser un eslabón débil si no se gestionan adecuadamente. Tienes que evaluar los riesgos en tu cadena de suministro, establecer requisitos de seguridad claros en los contratos y asegurarte de que los proveedores cooperan contigo en caso de incidentes.

Lee la guía NIS2: Seguridad de la cadena de suministro.

Adquisición, desarrollo y mantenimiento

La seguridad debe incorporarse a tus sistemas y servicios informáticos a lo largo de todo su ciclo de vida, desde la adquisición y el desarrollo hasta el funcionamiento diario y su eventual eliminación. Esto incluye la aplicación de parches, la configuración segura y la aplicación de las mejores prácticas, como la Seguridad por Diseño.

Lee la guía NIS2: Adquisición, Desarrollo y Mantenimiento.

Eficacia de las medidas

No basta con disponer de medidas de seguridad: también deben funcionar. Debes probar y evaluar periódicamente la eficacia de tus medidas, incluso mediante pruebas técnicas, revisiones y auditorías, y mejorarlas cuando se detecten puntos débiles.

Lee la guía NIS2: Eficacia de las medidas.

Formación en Ciberhigiene y Ciberseguridad

Las prácticas básicas de seguridad -como los parches, las copias de seguridad, la protección contra el malware y la autenticación fuerte- deben formar parte de tus operaciones diarias. Tus empleados también necesitan formación periódica para que comprendan los riesgos, sigan las mejores prácticas y sepan cómo actuar en caso de incidentes.

Lee la guía NIS2: Formación en Ciberhigiene y Ciberseguridad.

Criptografía

Tu organización debe proteger la confidencialidad, integridad y autenticidad de los datos con medidas criptográficas sólidas. Esto significa establecer reglas claras sobre normas de encriptación, gestión de claves y uso seguro de la criptografía, de acuerdo con las evaluaciones de riesgos y la clasificación de activos.

Lee la guía de NIS2: NIS2 y Criptografía.

Recursos Humanos Seguridad, Control de Acceso y Gestión de Activos

Las personas, el acceso y los activos son el núcleo de la seguridad. Tus empleados deben comprender sus responsabilidades, el acceso debe controlarse y revisarse, y tus activos deben clasificarse, rastrearse y protegerse durante todo su ciclo de vida.

Lee la guía NIS2: Seguridad de los Recursos Humanos, Control de Acceso y Gestión de Activos.

Autenticación multifactorial y sistemas de comunicación de emergencia

Para reducir el riesgo de acceso no autorizado, debes proteger los sistemas y datos críticos con autenticación multifactor. También debes garantizar una comunicación fiable en todo momento, incluso en caso de emergencia, preservando la confidencialidad, integridad y disponibilidad.

Lee la guía NIS2: Autenticación multifactorial y sistemas de comunicación de emergencia.

NIS2 Gobernanza de la Ciberseguridad

Históricamente, la alta dirección ha descuidado las medidas de ciberseguridad y las ha dejado en manos del personal informático.

El artículo 20.1 de la NIS2 cambia esta situación al exigir a la alta dirección que apruebe las medidas de gestión de riesgos de ciberseguridad adoptadas por la organización. La alta dirección debe garantizar que estas medidas son suficientes y eficaces para reducir los riesgos a un nivel aceptable. También están obligados a supervisar la aplicación de estas medidas y pueden ser considerados responsables de su incumplimiento.

Lee la guía NIS2: Gobernanza de la Ciberseguridad NIS2.

Formación en Gestión de NIS2

La NIS2 va más allá en el Artículo 20(2), que exige que los altos directivos reciban formación en ciberseguridad. Esta formación debe proporcionarles los conocimientos necesarios para identificar los riesgos, evaluar las prácticas de gestión de riesgos de ciberseguridad y comprender su impacto en los servicios críticos.

Lee la guía NIS2: Formación para la gestión de NIS2.

Obligaciones de información

Tu organización debe informar al CSIRT nacional, y lo antes posible, de los incidentes que tengan un impacto significativo en la prestación de sus servicios críticos. Inicialmente, puede darse una alerta temprana en un plazo de 24 horas, y en un plazo de 72 horas debe informarse de una evaluación inicial. Debe entregarse al CSIRT un informe final del incidente en el plazo de 1 mes desde que se produjo.

La organización también debe notificar a los destinatarios de este servicio cómo podría afectar el incidente a la prestación del servicio, y qué medidas o soluciones podrían adoptar en respuesta al incidente.

Sanciones y responsabilidad

Por último, es importante seguir los requisitos del NIS2, porque es ley. Aunque también debes saber que los altos directivos pueden ser considerados personalmente responsables del incumplimiento del NIS2. Tu organización puede ser multada con hasta 10 millones de euros o el 2% de la facturación mundial en el caso de organizaciones esenciales, y con hasta 7 millones de euros o el 1,4% de la facturación mundial en el caso de organizaciones importantes.

Para cumplir con el NIS2 te serán de gran ayuda las guías referenciadas en este artículo.

Prueba RGPD

Comprueba si conoces bien el RGPD.

  • Responderás a 13 preguntas sobre el RGPD.
  • Sólo te llevará 1-2 minutos.
  • Los expertos suelen responder correctamente a las 13 preguntas.
Prueba RGPD

Prueba gratuita

Nos pondremos en contacto contigo por correo electrónico lo antes posible.