La Directiva NIS2 es la pieza fundamental de la legislación europea en el ámbito de la ciberseguridad. Sus medidas pretenden garantizar la seguridad de las redes y sistemas de información en el conjunto del territorio de la UE. Algo que resulta esencial en tiempos de digitalización, y con los ciberdelitos en continuo auge, tanto para grandes empresas como para pymes.

La Directiva NIS2 se publicó a finales de 2022 y establece la obligación para todos los Estados miembros de adoptar una Estrategia Nacional de Seguridad. Serán ellos quienes decidan cómo llevar a la práctica las normas y objetivos de la NIS2.

Los diferentes países comparten un Grupo de Cooperación internacional que facilita la colaboración y el intercambio de información y una red de equipos europea pensada para dar respuesta a incidentes de seguridad informáticos (red CSIRT).

Con todo ello, se está trabajando y avanzando en la legislación sobre ciberseguridad en cada territorio. Según lo acordado, las principales medidas ya deberían estar aplicándose para octubre de 2024.

A quién va dirigida la Directiva NIS2

La Directiva NIS 2 se dirige, principalmente, a las empresas consideradas como esenciales o importantes. Son definidas por cada país, aunque la normativa europea ya apunta y define de manera general qué se considera servicios esenciales, proveedores de servicios digitales, además de sectores, subsectores e infraestructuras estratégicas y críticas.

Por ejemplo, un servicio esencial es aquel que resulta necesario para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos o el eficaz funcionamiento de las Administraciones Públicas. Y para la provisión de esos servicios esenciales se requieren operadores que hagan uso de infraestructuras y/o redes que se entienden como críticas.

Por otro lado, varios sectores figuran en la lista que recoge el ámbito de aplicación de la NIS2: energía, transporte, banca, mercados financieros, sanidad, suministro de agua e infraestructuras digitales.

Directiva NIS2: cómo afecta a las pymes

Aunque no seas catalogadas como empresas esenciales, las pymes también deberían adoptar varias medidas en materia de ciberseguridad y, en particular, determinadas prácticas de ciberhigiene:

  • Seguir los principios de “confianza cero”.

  • Realizar actualizaciones de software.

  • Configurar de manera segura los dispositivos.

  • Segmentar la red.

  • Implantar la gestión de identidades y acceso.

  • Concienciar a los usuarios y organizar formaciones para su personal.

  • Sensibilizar sobre las ciberamenazas, phishing o técnicas de ingeniería social.

SCUDO y la NIS2

¿Sabías que todas estas medidas a las que se refiere la Directiva NIS2 están cubiertas con SCUDO, la ciberseguridad integral de Euskaltel empresas para las pymes?

Scudo permite a las pymes contar con una solución de seguridad digital integral muy completa y con las prestaciones más avanzadas.

Se trata de una herramienta pensada y orientada especialmente a pymes y negocios, basada en herramientas tecnológicas punteras, buenas prácticas y mediante la que siempre cuentas con el respaldo continuo de un equipo de expertos.

Principales medidas de la Directiva NIS2

Una vez definido a quién y cómo aplica, es hora de llevar a la práctica las medidas que pone sobre la mesa la Directiva NIS2.

Estas acciones tendrán en cuenta todos aquellos peligros que amenazen los sistemas de redes e información y su entorno físico. De manera general, se establecen unos elementos mínimos a incluir, relativos a los siguientes aspectos:

  • Políticas de seguridad de sistemas de información y análisis de riesgos.

  • Seguridad en la adquisición, desarrollo y mantenimiento de redes e información.

  • Gestión de incidentes.

  • Continuidad de las actividades (incluye, por ejemplo, la gestión de copias de seguridad).

  • Seguridad de la cadena de suministro, teniendo en cuenta también a proveedores o prestadores de servicios directos.

  • Prácticas básicas de ciberhigiene, como los principios de “confianza cero”, actualizaciones de software, configuración de dispositivos, segmentación de la red, gestión de la identidad o acceso a la concienciación de usuarios, con especial atención a los sistemas de aprendizaje automático y a las soluciones basadas en Inteligencia Artificial.

  • Formación en ciberseguridad.

  • Políticas y procedimientos relativos a la utilización de criptografía y cifrado.

  • Seguridad de recursos humanos y activos.

  • Soluciones de autenticación multifactorial o continua, comunicaciones de voz, vídeo y texto seguras.

Además, la normativa introduce conceptos como el Indicador de Peligrosidad, que diferencia entre crítico, muy alto, alto, medio y bajo y determina la potencial amenaza que supondría la materialización de un incidente en los sistemas de información o comunicación del ente afectado, y el Indicador de Impacto de un ciberincidente, evaluando sus consecuencias en actividades, activos o individuos.

NIS1 vs NIS2: novedades de la directiva NIS2

La Directiva NIS2 sustituye a la primera Directiva NIS1 (publicada en 2016) y va un paso más allá en cuánto al refuerzo de requisitos de seguridad y la manera de abordar la seguridad de las cadenas de suministro. Al mismo tiempo, simplifica las obligaciones de notificación de incidentes e introduce normas, medidas de supervisión y requisitos más estrictos y sanciones armonizadas en toda la UE.

También amplía el alcance cubierto por NIS, al obligar efectivamente a más entidades y sectores a tomar medidas. Ahora incluye a administraciones públicas, sector espacial o subsector del hidrógeno, además de entidades importantes y cadenas de suministro.

El objetivo es aumentar el nivel de ciberseguridad en Europa a largo plazo.

En concreto, la Directiva NIS2 identifica varios objetivos:

  • Aumentar el nivel de ciberresiliencia de todas las entidades públicas y privadas que cumplen funciones importantes para la economía y la sociedad en la Unión Europea.

  • Reducir las incoherencias en materia de resiliencia en los sectores ya cubiertos por la Directiva NIS1.

  • Mejorar el nivel de conocimiento conjunto de la situación y la capacidad colectiva para prepararse y responder a los ataques.

Con esta Directiva NIS2, Europa quiere hacer frente a los ciberdelitos y las amenazas cibernéticas y establecer medidas conjuntas que ayuden a las empresas, y al conjunto de la sociedad, a cuidar la ciberseguridad.

Si quieres saber más sobre nuestras soluciones tecnológicas para empresas, suscríbete a nuestro boletín o contacta con tu asesor personal o con nuestro equipo del área comercial empresas a través del siguiente formulario. Y para estar al día de las últimas noticias síguenos en LinkedIn.