¿Buenas intenciones en materia de ciberseguridad para 2023 o medidas de ciberseguridad exigidas por ley?

NIS2, la nueva Ley de Ciberseguridad.

La Directiva NIS2 (Network and Information Systems) se adoptó en noviembre de 2022 como la nueva Directiva Europea de Ciberseguridad y ordena varias cosas que las organizaciones deben cumplir para mantener alejados a los ciberdelincuentes. ¿Aún no ha oído hablar de ella? Quizás sea bueno seguir leyendo. Porque la NIS2 también incluye la responsabilidad administrativa y la responsabilidad de las personas físicas.

Legislación para mediados de 2024

Al igual que el GDPR europeo para la legislación sobre privacidad, la NIS2 europea también se convierte en legislación obligatoria para las organizaciones que se enumeran a continuación. El GDPR se ha convertido en la AVG en los Países Bajos, la NIS2 también tiene un nombre holandés, la NIB2 (Directiva de Seguridad de Redes e Información). Como legislación holandesa, tendrá que aplicarse en la segunda quincena (septiembre) de 2024 (21 meses después de su adopción). Por cierto, esto se aplica a los 27 Estados miembros europeos.

El "2" viene del hecho de que la NIS ya existía, concretamente desde 2016. De esta NIS(1) surgió en 2018 la WBNI, Ley de Seguridad de Redes y Sistemas de Información, que impuso una obligación legal de notificación y medidas de seguridad a los proveedores de servicios digitales (DSP) y al proveedor de servicios esenciales (AED), como las compañías eléctricas y los proveedores de agua potable. Por cierto, el DSP y el AED ya no se mencionan en la NIS2.

Los últimos años han demostrado que muchas organizaciones no adoptaron suficientemente las llamadas "medidas básicas" mencionadas también por el Centro Nacional de Ciberseguridad (https://www.ncsc.nl/onderwerpen/basismaatregelen ). Muchas organizaciones resultaron ser vulnerables a los ciberataques. En muchas ocasiones, se vieron afectadas muchas más organizaciones que la propia organización atacada, por lo que el impacto fue a menudo enorme. El SNI2 debería reforzar la ciberresiliencia elevando los niveles de seguridad y obligando a adoptar "medidas básicas" para prevenir los ciberataques y reducir su impacto.

La NIS2 no es sólo una actualización sustantiva de la NIS, por lo que ahora también será una ley local neerlandesa (NIB2) y también en todos los demás Estados miembros de la UE. Además, un cambio importante es el ámbito de aplicación. Mientras que antes se centraba principalmente en los ya mencionados DSP y DEA, en su mayoría grandes organizaciones esenciales para las infraestructuras críticas, ahora también va a afectar a las organizaciones importantes para éstas y a las organizaciones que las suministran. Además, el tamaño ya no importa. Así que es muy posible que su organización pueda estar cubierta por el NIS2. Se supone que unas 160.000 organizaciones en Europa están cubiertas por el NIS2 y unas 4.500 organizaciones en los Países Bajos.

Además, la NIS2 también garantizará que se realicen esfuerzos de colaboración dentro de los sectores y los Estados miembros de la UE para aumentar y acelerar la notificación de incidentes.

¿A quién se aplica?

El NIS2 cubre las organizaciones que tienen actividades empresariales que entran dentro de las "actividades esenciales" en los siguientes sectores esenciales clave:

• Energía
• Transporte
• Banca
• Infraestructuras Mercado financiero
• Sanidad
• Suministro de agua potable (residual)
• Infraestructura digital
• Gestión de servicios TIC (B2B)
• Gobierno
• Aeroespacial

Esto incluye ahora organizaciones que ofrecen actividades clave como:

• Proveedores de plataformas de redes sociales
• Proveedores auxiliares de servicios de infraestructura digital (como los proveedores de redes y servicios públicos de comunicaciones electrónicas)
• Proveedores de gestión de servicios TIC
• Servicios públicos
• Servicios postales y de mensajería
• Fabricación, producción y distribución de productos químicos
• Entidades dedicadas a la producción, transformación y distribución de productos alimenticios
• Determinados fabricantes (por ejemplo, de equipos médicos, componentes informáticos o electrónicos, maquinaria, vehículos de motor u otros medios de transporte).
• Empresas farmacéuticas
• Instituciones de investigación
• Gestión de residuos

Si usted es un proveedor de servicios en relación con estas actividades y tiene más de 50 empleados y una facturación de más de 10 millones, entonces está cubierto por el NIS2. Pero el NIS2 se aplica a toda la cadena. Por lo tanto, si hace negocios con alguna de estas organizaciones, también estará cubierto por el NIS2 o se le impondrán requisitos, y este hecho, en particular, afectará a muchas organizaciones.

Cumplimiento de la ley y multas

Como se menciona en la introducción, los Estados miembros de la UE traducirán la NIS2 a la legislación local y esto debería estar en vigor a principios de 2024 (que es pronto). Los Estados miembros cooperarán más estrechamente entre sí y con la UE y deberán crear uno o varios Equipos de Respuesta a Incidentes de Seguridad Informática. En los Países Bajos, varios de estos CSIRTS ya están activos para determinados grupos.

El incumplimiento de la NIS2 podría dar lugar a multas de hasta el 2% de la facturación global, con un máximo de 10 millones de euros. El proceso será diferente al del GDPR-AVG, ya que en este caso el proceso solo entra en vigor tras una violación de datos. Con el NIS2, también será posible someterse a auditorías ante la sospecha de una violación de datos o también podrán realizarse auditorías aleatorias. Cabe señalar que las entidades esenciales estarán bajo plena supervisión. Para las entidades importantes, la supervisión será a posteriori. Con el NIS2, por cierto, ¡hay responsabilidad administrativa! 

Queda por ver quién y cómo se encargará de hacer cumplir la ley. Algunos rumores apuntan a que podría recaer en la Agencia de Telecomunicaciones. Este organismo regulador ha sido rebautizado como Rijksinspectie Digitale Infrastructuur (RDI para abreviar) con efectos a partir del 1-1-2023, así que tal vez haya una conexión con esto.

¿Qué debo cumplir?

• Dependiendo de si su organización entra dentro de las actividades esenciales o principales, tendrá que cumplir una serie de requisitos. Es importante integrar la gestión de riesgos como un proceso y, en consecuencia, habrá que realizar análisis y tratamientos de riesgos. 
• Es obligatorio registrar los incidentes de seguridad si afectan a la disponibilidad, integridad o confidencialidad y también a la autenticidad de los datos. Al igual que en el caso de una violación de datos con arreglo a la AVG, deben notificarse en un plazo de 72 horas. E incluso en 24 horas si la disponibilidad se ha visto comprometida, y debe presentarse un informe completo del incidente en el plazo de un mes. Además, habrá que tomar medidas de continuidad de negocio, gestión de copias de seguridad, recuperación de desastres y gestión de crisis.
• Seguridad de proveedores y de la cadena de suministro en relación con los proveedores y prestadores de servicios;
• Medidas generales de ciberseguridad y formación (véase la lista a continuación)

Si hace negocios con una de estas organizaciones que proporcionan actividades esenciales e importantes, también tendrá que tener en orden las medidas de seguridad generales del negocio. Después de todo, es obvio que estas organizaciones también imponen requisitos a los proveedores para demostrar que se han tomado las medidas básicas mínimas que ellos mismos también deben cumplir. Al fin y al cabo, el NIS2 establece requisitos de seguridad para la cadena, por lo que la lista que figura a continuación (basada en parte en los requisitos básicos de seguridad del NCSC) es una base excelente:

• Adoptar medidas básicas de ciberseguridad y formación.
• Directrices y procedimientos para el uso del cifrado.
• Seguridad de acceso, gestión de activos y seguridad de RRHH
• Asegúrese de que cada aplicación y sistema genera suficiente información de registro y realiza un inventario adecuado.
• Aplique la autenticación multifactor cuando sea necesario
• Determine quién tiene acceso a sus datos y servicios
• Redes de segmentos
• Cifrar los soportes de almacenamiento que contienen información empresarial confidencial
• Compruebe qué dispositivos y servicios son accesibles desde Internet y protéjalos
• Haga copias de seguridad y compruebe sus sistemas con regularidad
• Instalar actualizaciones de software
• Evitar virus y otros programas maliciosos
• Realice un inventario de vulnerabilidades mediante evaluaciones periódicas de riesgos y análisis de vulnerabilidades.

La demostrabilidad es importante, ¿la certificación ISO 27001? ¿O de alguna otra forma?

No hay certificaciones NIS2 (todavía). En la práctica, muchos proveedores esenciales y proveedores de actividades clave querrán demostrar el cumplimiento de NIS2. Dadas sus responsabilidades en la cadena de suministro, a su vez también exigirán a sus proveedores que lo demuestren. Se espera que una norma como la ISO 27001 para la seguridad de la información se utilice más a menudo con este fin. Después de todo, la mayoría de las cuestiones mencionadas en la NIS2 como medidas también se abordan en esta norma y, en términos de demostrabilidad, esta norma será una vía fácil para la demostrabilidad de la NIS2. Como proveedor de la cadena, será mucho más fácil seguir haciendo negocios con proveedores esenciales y proveedores de actividades clave.

Comenzar rápidamente con la implantación y el cumplimiento de NIS2.

Con nuestros sistemas de gestión integrados CyberManager SGSI, SGIP, SGSC y SGCA (para la seguridad de la información, la privacidad, la ciberseguridad y la continuidad del negocio), ofrecemos tanto a las PYME como a las grandes organizaciones una solución para implantar y gestionar las cuestiones mencionadas de forma escalable. Tanto si es usted un proveedor de actividades esenciales o clave con arreglo a la norma NIS2 como si es un proveedor con requisitos ligeramente diferentes, siempre hay una suscripción adecuada para la norma NIS2 y, por ejemplo, para la norma ISO 27001. 

En CyberManager, hay disponible un cuadro de mando NIS2 vinculado a las medidas mencionadas en este artículo, lo que le permite centrarse primero en los requisitos NIS2 y demostrar el cumplimiento de los mismos. También puede utilizar las mismas medidas, así como medidas adicionales para la aplicación de la norma ISO 27001. Esto le permite implantar NIS2 paso a paso, así como la norma ISO 27001.

El software CyberManager SGSI ofrece funciones estándar de gestión de riesgos, registro y gestión de incidentes de seguridad, violaciones de datos, vulnerabilidades u otros flujos de trabajo, incluidas las notificaciones por correo electrónico a los afectados, así como la gestión de la privacidad a través del SGIP. Además, se dispone de un sistema de gestión del aprendizaje electrónico integrable que permite impartir formación de concienciación sobre los riesgos y gestionar las evaluaciones y la planificación de la continuidad de las actividades a través del sistema de gestión de la continuidad de las actividades. Como se ha indicado anteriormente, se dispone de cuadros de mando para NIS2, así como para ISO 27001. 

Las organizaciones que también utilizan normas como NIST CSF, CSIR/BIACS, IEC 62443 o, por ejemplo, los controles CIS tanto para un SGSI como para OT-Security también pueden controlarlos a través de los sistemas de gestión CyberManager SGSI o SGSC.

Para saber más, póngase en contacto con nosotros aquí o a través de nuestros socios. Haga clic aquí para obtener más información sobre nuestras soluciones CyberManager SGSI, SGSC, SGIP y SGCA.

Fuente:

El NIS2 puede consultarse aquí en varios idiomas

https://eur-lex.europa.eu/eli/dir/2022/2555/oj

https://www.europarl.europa.eu/doceo/document/TA-9-2022-0383_EN.pdf

https://www.europarl.europa.eu/news/en/press-room/20221107IPR49608/cybersecurity-parliament-adopts-new-law-to-strengthen-eu-wide-resilience 

https://www.ncsc.nl/onderwerpen/basismaatregelen