logo ORSYS Le mag

El medio de la formación y las competencias

Inicio > Tecnologías digitales > Ciberseguridad > NIS 2: ¿cómo prepararse para aplicar la nueva directiva de ciberseguridad?

NIS 2: ¿cómo prepararse para aplicar la nueva directiva de ciberseguridad?

Publicado el 3 jun 2024
Compartir esta página :

La cuenta atrás está en marcha: sólo faltan 5 meses para que entre en vigor la directiva NIS 2.0 sobre ciberseguridad. Esta normativa europea se aplicará tanto a las PYME como a los entes locales y a los grupos CAC 40. ¿Cuáles son los requisitos? ¿Cuáles son las sanciones en caso de incumplimiento? ¿Cómo puede preparar y adaptar su sistema de información? Descubra nuestras recomendaciones para ayudarle en esta transición crucial.

Ilustración del artículo NIS 2

La NIS 2 hace sudar frío a los CIO. Publicada en diciembre de 2022, la Directiva NIS 2 (Seguridad de las Redes y de la Información) entrará en vigor en Francia muy pronto, el 17 de octubre de 2024. ¿Su objetivo? Reforzar la ciberseguridad de las empresas en toda la Unión Europea.

Para ello, se basa en la Directiva NIS 1 existente, aumentando los requisitos de seguridad y ampliando su ámbito de aplicación a una gama más amplia de empresas y organizaciones.

La directiva Una característica particular de NIS 2 es que responsabiliza a los gestores de la gestión de los incidentes cibernéticos. (art. 20 de la directiva). En otras palabras, no solo el director, sino también todas las personas de los órganos de dirección (por ejemplo, el comité ejecutivo) pueden ser declaradas responsables de la ciberseguridad de la entidad declarante (arts. 32 y 33).

¿A qué empresas afecta el NIS 2?

La directiva NIS 2 se aplicará a 18 sectores de actividad (frente a los 7 de la NIS 1). Las empresas se dividen en 2 categorías, según 3 criterios: sector de actividad, número de empleados y volumen de negocio:

  • Entidades esenciales (EE)
  • Entidades principales (EI)

Se prevé que más de 20.000 entidades francesas se vean afectadas, entre ellas administraciones de todos los tamaños y empresas que van desde PYME hasta grupos del CAC 40.

Las entidades ya no se designarán por decreto, sino según los criterios que figuran a continuación (sector de actividad, número de empleados, volumen de negocios).  

Tamaño de la empresa
Número de empleados
Cifras de ventas
(en millones de euros)
Sectores críticos
Sectores críticos
Microempresas y PYME
≤ 50
< 10
No afectado por NIS 2
PYME
51-249
10-49
Entidades significativas (SE)
ETI y grandes empresas
≥ 250
≥ 50
Entidades esenciales (EE)
Entidades significativas (SE)

Los 18 sectores empresariales se dividen en función de su criticidad:

  • En sectores muy críticos Entre ellos se encuentran el agua potable, el transporte, la sanidad, la energía, el mercado financiero, la banca y las infraestructuras digitales, todos ellos ya cubiertos por el SNI 1. A ellos se suman la gestión de las aguas residuales, el espacio, los servicios de TIC (incluidos los sitios de comercio electrónico) y las administraciones públicas (central, regional y local).
    En función de su tamaño (número de empleados, volumen de negocios), serán EE o EEI.
  • En otros sectores críticos Entre ellos figuran los servicios postales y de transporte, la gestión de residuos, la alimentación, la investigación y la enseñanza superior, la fabricación, producción y distribución de productos químicos y los proveedores digitales.
    Estos sectores sólo incluyen las IE.

A nivel nacional, la ANSSI (Agence nationale de la sécurité des systèmes d'information) aplicará la NIS 2. La autoridad nacional de ciberseguridad y ciberdefensa prestará apoyo a las entidades interesadas, ejerciendo al mismo tiempo una función de supervisión.

La ANSSI ofrece un prueba para comprobar si su organización se ve afectada por la Directiva NIS 2.

¿Cuáles son los requisitos de NIS 2?

La directiva NIS 2 se inspira en gran medida en la norma ISO 27001, que certifica los protocolos de gestión de riesgos. Las organizaciones afectadas por NIS 2 tendrán que facilitar a la ANSSI determinada información, aplicar medidas adecuadas de gestión de riesgos (análisis de riesgos y plan de gestión).

Es más, las empresas deben notificar todos los incidentes graves de ciberseguridad a la ANSSI en un plazo de 72 horas. Para ello es necesario disponer de la infraestructura técnica y organizativa necesaria para detectarlos y responder a ellos.

¿Cómo se prepara para NIS 2?

1. Compruebe que su organización está interesada

El primer paso es compruebe que su organización está implicada realizando la prueba propuesta por la ANSSI (véase superior).

2. Evaluar el estado actual de la ciberseguridad

La segunda consiste en evaluar el estado actual de la ciberseguridad de la organización. Para ello, las organizaciones pueden :

  • Realizar una auditoría de seguridad Identifique los puntos débiles y las lagunas en las medidas de seguridad actuales. Por ejemplo, una PYME puede descubrir que no tiene una política de contraseñas sólida, lo que podría dejarla vulnerable a ataques de fuerza bruta.
  • Evaluar los riesgos Análisis de riesgos: un análisis de riesgos identificará las amenazas potenciales y su impacto en la organización. Por ejemplo, una empresa de transporte podría identificar que sus sistemas de gestión de flotas son susceptibles de sufrir ciberataques que podrían interrumpir sus operaciones.
  • Mapa de activos Identifique los activos críticos y las infraestructuras críticas para saber dónde centrar los esfuerzos de seguridad. Por ejemplo, una empresa sanitaria tendrá que identificar sus bases de datos de pacientes como activos críticos que requieren una mayor protección.

3. Introducción de medidas de seguridad reforzadas

A continuación, en función de los resultados de la evaluación inicial, las empresas pueden introducir medidas de seguridad reforzadas :

  • Actualización de las políticas de seguridad. Por ejemplo, una PYME podría introducir una política que exija actualizaciones periódicas del software para evitar vulnerabilidades.
  • Mejora de los controles y sistemas de detección (cortafuegos avanzado, EDR...) o encriptación
  • Gestión de identidades y accesos más sólida (IAM). Por ejemplo, un minorista electrónico puede implantar la autenticación multifactor (2FA) para proteger el acceso de los clientes.

4. Reforzar la resistencia de la organización 

La entidad también podrá reforzar su resistencia organizativa:

  • Elaboración de planes de continuidad de las actividades (PCN) y planes de recuperación en caso de catástrofe (PRC). Por ejemplo, una empresa de comercio electrónico debe tener un plan para seguir procesando pedidos aunque su sitio web sufra un ataque.
  • Aplicar procedimientos de gestión de incidentes. Por ejemplo, una empresa manufacturera podría poner en marcha un proceso para aislar rápidamente los sistemas comprometidos con el fin de minimizar los daños.
  • Formación y sensibilización del personal Sensibilizar a todos los empleados sobre las buenas prácticas de ciberseguridad y organizar sesiones de formación periódicas para el personal. Por ejemplo, enseñar al personal a detectar correos electrónicos de phishing.

Por último, debe garantizar el cumplimiento y la supervisión permanente. mediante auditorías de seguridad periódicas, comunicaciones permanentes con la ANSSI, etc.

¿Cuáles son las sanciones por incumplimiento de la norma NIS 2?

A diferencia de la NIS 1, la directiva NIS 2 prevé una serie de sanciones en caso de incumplimiento por parte de las entidades sujetas a la directiva. Estas sanciones pueden ser muy cuantiosas, sobre todo en términos de multas.

Por ejemplo, una PYME que no notifique un incidente de seguridad importante podría enfrentarse a multas que representen un porcentaje significativo de su facturación anual, similar a lo previsto en el Reglamento General de Protección de Datos (RGPD). Además, la ANSSI podrá imponer sanciones administrativas, como órdenes de cumplimiento.

Las sanciones máximas son

  • 10 millones de euros o 2 % de ventas mundiales para entidades esenciales (EE) el que sea superior

  • 7 millones de euros o 1,4 % de las ventas mundiales para grandes entidades
    el que sea superior

Además otras posibles sanciones :

  • En alertas enviados a los clientes de una entidad en relación con los riesgos potenciales
  • En medidas administrativas como órdenes de cumplimiento, suspensión de actividades, retirada de licencias, etc.
  • En requerimientos judiciales ordenando a la entidad que cumpla mediante medidas específicas.

Los directores de ES pueden ser inhabilitados para ejercer en caso de incumplimiento. Por lo tanto, es importante que estos directivos reciban formación en materia de gobernanza de la ciberseguridad..

¿Cuánto cuesta el cumplimiento?

Este coste puede variar considerablemente en función del tamaño de la organización y de su estado de preparación para el cumplimiento de la normativa. A esto hay que añadir el número de dispositivos digitales y el número de personas responsables de la ciberseguridad.

Los costes a tener en cuenta incluyen: auditorías de seguridad, actualizaciones tecnológicas, formación del personal y, si es necesario, el uso de consultores externos.

La Directiva NIS 2 representa un gran reto para las organizaciones, pero también una oportunidad para mejorar su ciberseguridad y resistencia frente a las amenazas. Para los CISO, CIO y directores de PYME, prepararse para esta directiva implica una evaluación rigurosa de las disposiciones de seguridad actuales, la aplicación de medidas de seguridad sólidas y un compromiso de mejora continua. La directiva NIS 2 también impone la obligación de impartir formación sobre ciberseguridad a los directivos y concienciar al personal.

Siguiendo estos pasos, las organizaciones no sólo podrán cumplir la directiva NIS 2, sino también reforzar su postura de seguridad global.

También pueden interesarle estos artículos

La transición ecológica está repercutiendo en las necesidades de cualificación y formación a todos los niveles de la empresa. Transición ecológica: ¿qué impacto sobre las cualificaciones y la formación? Ilustración artículo IA de código AI: generadores de código, una revolución para los desarrolladores Gobernanza de la SI Gobernanza de la SI: implicación de las unidades de negocio en la seguridad corporativa

ARTÍCULO ANTERIOR

IA y RRHH: ¿qué usos prácticos?

ARTÍCULO SIGUIENTE

Venta social: optimice su perfil de LinkedIn para vender con eficacia

Nuestro experto

Consejo editorial de ORSYS

Formado por periodistas especializados en informática, gestión y desarrollo personal, el equipo editorial de ORSYS Le mag [...].

dominio asociado

Ciberseguridad

formación asociada

Implantación, gobierno y certificación de un proyecto NIS 2

NIS 2, NIST CSF 2, ISO 27001:2022

Seguridad de los sistemas de información, resumen