Inicio > Tecnologías digitales > Ciberseguridad > NIS 2: ¿cómo prepararse para aplicar la nueva directiva de ciberseguridad?

NIS 2: ¿cómo prepararse para aplicar la nueva directiva de ciberseguridad?

Publicado el 3 jun 2024
Compartir esta página :

La cuenta atrás está en marcha: sólo faltan 5 meses para que entre en vigor la Directiva. NIS 2.0 sobre ciberseguridad. Esta normativa europea se aplicará tanto a las PYME como a las autoridades locales y a los grandes grupos CAC 40. ¿Cuáles son los requisitos? ¿Cuáles son las sanciones en caso de incumplimiento? ¿Cómo puede prepararse y adaptar su sistema de información? Descubra nuestras recomendaciones para ayudarle en esta transición crucial.

Ilustración del artículo NIS 2

La NIS 2 hace sudar frío a los CIO. Publicada en diciembre de 2022, la Directiva NIS 2 (Seguridad de las Redes y de la Información) entrará en vigor en Francia muy pronto, el 17 de octubre de 2024. ¿Su objetivo? Reforzar la ciberseguridad de las empresas en toda la Unión Europea.

Para ello, se basa en la Directiva NIS 1 existente, aumentando los requisitos de seguridad y ampliando su ámbito de aplicación a una gama más amplia de empresas y organizaciones.

La directiva Una característica particular de NIS 2 es que responsabiliza a los gestores de la gestión de los incidentes cibernéticos. (art. 20 de la directiva). En otras palabras, no solo el gerente, sino también todas las personas de los órganos de dirección (por ejemplo, el comité ejecutivo) pueden ser declaradas responsables de la ciberseguridad de la entidad declarante (arts. 32 y 33).

¿A qué empresas afecta el NIS 2?

La directiva NIS 2 se aplicará a 18 sectores de actividad (frente a los 7 de la NIS 1). Las empresas se dividen en 2 categorías, según 3 criterios: sector de actividad, número de empleados y volumen de negocio:

  • Entidades esenciales (EE)
  • Entidades principales (EI)

Se espera que se vean afectadas más de 20.000 entidades francesas, entre administraciones de todos los tamaños y empresas que van desde PYME hasta grupos del CAC 40.

Las entidades ya no se designarán por decreto, sino según los criterios que figuran a continuación (sector de actividad, número de empleados, volumen de negocios).  

Tamaño de la empresa
Número de empleados
Cifras de ventas
(en millones de euros)
Sectores críticos
Sectores críticos
Microempresas y PYME
≤ 50
< 10
No afectado por NIS 2
Pymes
51-249
10-49
Entidades significativas (SE)
ETI y grandes empresas
≥ 250
≥ 50
Entidades esenciales (EE)
Entidades significativas (SE)

Los 18 sectores empresariales se dividen en función de su criticidad:

  • En sectores muy críticos Entre ellos se encuentran el agua potable, el transporte, la sanidad, la energía, el mercado financiero, la banca y las infraestructuras digitales, todos ellos ya cubiertos por el SNI 1. A ellos se suman la gestión de las aguas residuales, el espacio, los servicios de TIC (incluidos los sitios de comercio electrónico) y las administraciones públicas (central, regional y local).
    En función de su tamaño (número de empleados, volumen de negocios), serán EE o EEI.
  • En otros sectores críticos Entre ellos figuran los servicios postales y de transporte, la gestión de residuos, la alimentación, la investigación y la enseñanza superior, la fabricación, producción y distribución de productos químicos y los proveedores digitales.
    Estos sectores sólo incluyen las IE.

A escala nacional, elANSSI (Agence nationale de la sécurité des systèmes d'information), que aplicará la NIS 2. La autoridad nacional de ciberseguridad y ciberdefensa prestará apoyo a las entidades interesadas, al tiempo que ejercerá una función de supervisión.

¿Cuáles son los requisitos de NIS 2?

La Directiva NIS 2 se inspira en gran medida en la ISO 27001 que certifica los protocolos de gestión de riesgos. Las organizaciones afectadas por el NIS 2 tendrán que facilitar a la ANSSI determinada información, aplicar medidas adecuadas de gestión de riesgos (análisis de riesgos y plan de gestión).

Es más, las empresas deben notificar cualquier incidente grave de ciberseguridad a la ANSSI en un plazo de 72 horas. Para ello es necesario disponer de la infraestructura técnica y organizativa necesaria para detectarlos y responder a ellos.

¿Cómo se prepara para NIS 2?

1. Compruebe que su organización está interesada

El primer paso es compruebe que su organización está implicada realizando la prueba propuesta por la ANSSI (véase superior).

2. Evaluar el estado actual de la ciberseguridad

La segunda consiste en evaluar el estado actual de la ciberseguridad de la organización. Para ello, las organizaciones pueden :

  • Realizar una auditoría de seguridad Identifique los puntos débiles y las lagunas en las medidas de seguridad actuales. Por ejemplo, una PYME puede descubrir que no tiene una política de contraseñas sólida, lo que podría dejarla vulnerable a ataques de fuerza bruta.
  • Evaluar los riesgos Análisis de riesgos: un análisis de riesgos identificará las amenazas potenciales y su impacto en la organización. Por ejemplo, una empresa de transporte podría identificar que sus sistemas de gestión de flotas son susceptibles de sufrir ciberataques que podrían interrumpir sus operaciones.
  • Mapa de activos Identifique los activos críticos y las infraestructuras críticas para saber dónde centrar los esfuerzos de seguridad. Por ejemplo, una empresa sanitaria tendrá que identificar sus bases de datos de pacientes como activos críticos que requieren una mayor protección.

3. Introducción de medidas de seguridad reforzadas

A continuación, en función de los resultados de la evaluación inicial, las empresas pueden introducir medidas de seguridad reforzadas :

  • Actualización de las políticas de seguridad. Por ejemplo, una PYME puede introducir una política que exija actualizaciones periódicas del software para evitar vulnerabilidades.
  • Mejora de los controles y sistemas de detección (cortafuegos avanzada, EDR...) o encriptación
  • Gestión de identidades y accesos más sólida (IAM). Por ejemplo, un minorista electrónico puede implantar la autenticación multifactor (2FA) para asegurar el acceso de los clientes.

4. Reforzar la resistencia de la organización

La entidad también podrá reforzar su resistencia organizativa:

  • Desarrollar planes de continuidad (PCA) y la vuelta al trabajo (PRA). Por ejemplo, una empresa de comercio electrónico debe tener un plan para seguir procesando pedidos aunque su sitio web sufra un ataque.
  • Aplicar procedimientos de gestión de incidentes. Por ejemplo, una empresa de fabricación podría poner en marcha un proceso para aislar rápidamente los sistemas comprometidos y minimizar los daños.
  • Formación y sensibilización del personal Sensibilizar a todos los empleados sobre buenas prácticas de ciberseguridad y organizar sesiones periódicas de formación para el personal. Por ejemplo, enseñar al personal a detectar correos electrónicos de suplantación de identidad.

Por último, debe garantizar el cumplimiento y la supervisión permanente. mediante auditorías de seguridad periódicas, comunicaciones permanentes con la ANSSI, etc.

¿Cuáles son las sanciones por incumplimiento de la norma NIS 2?

A diferencia de la NIS 1, la directiva NIS 2 prevé una serie de sanciones en caso de incumplimiento por parte de las entidades sujetas a la directiva. Estas sanciones pueden ser muy fuertes, sobre todo en términos de multas.

Por ejemplo, una PYME que no notifique un incidente de seguridad importante podría enfrentarse a multas que representen un porcentaje significativo de su facturación anual, similar a lo previsto en el Reglamento General de Protección de Datos (RGPD). Además, la ANSSI podrá imponer sanciones administrativas, como órdenes de cumplimiento.

Además otras posibles sanciones :

  • En alertas enviados a los clientes de una entidad en relación con los riesgos potenciales
  • En medidas administrativas como órdenes de cumplimiento, suspensión de actividades, retirada de licencias, etc.
  • En requerimientos judiciales ordenando a la entidad que cumpla mediante medidas específicas.

Los directores de ES pueden ser inhabilitados para ejercer en caso de incumplimiento. Por lo tanto, es importante que estos gestores reciban formación sobre la gobernanza ciberseguridad.

¿Cuánto cuesta el cumplimiento?

Este coste puede variar considerablemente en función del tamaño de la organización y de su estado de preparación para el cumplimiento de la normativa. A esto hay que añadir el número de dispositivos digitales y el número de personas responsables de la ciberseguridad.

Los costes a tener en cuenta incluyen: auditorías de seguridad, actualizaciones tecnológicas, formación del personal y, si es necesario, el uso de consultores externos.

La Directiva NIS 2 representa un gran reto para las organizaciones, pero también una oportunidad para mejorar su ciberseguridad y resistencia frente a las amenazas. Para los CISO, CIO y directores de PYME, prepararse para esta directiva implica una evaluación rigurosa de las disposiciones de seguridad actuales, la aplicación de medidas de seguridad sólidas y un compromiso de mejora continua. La directiva NIS 2 también impone la obligación de impartir formación sobre ciberseguridad a los directivos y concienciar al personal.

Siguiendo estos pasos, las organizaciones no sólo podrán cumplir la Directiva NIS 2, sino que también reforzarán su postura general de seguridad.

Nuestro experto

Formado por periodistas especializados en informática, gestión y desarrollo personal, el equipo editorial de ORSYS Le mag [...].

ámbito de formación

formación asociada