¿Qué es la Directiva NIS2?
La Directiva sobre Seguridad de las Redes y de la Información (NIS) de la Unión Europea es una norma legislativa cuyo objetivo es lograr un nivel común elevado de ciberseguridad para las organizaciones de toda la Unión Europea. Adoptada originalmente en 2016, la NIS dependía en gran medida de la discreción de cada Estado miembro y carecía de mecanismos de rendición de cuentas.
El 16 de enero de 2023, en respuesta a las amenazas crecientes planteadas por la intensificación de la digitalización y el aumento de los ciberataques, la UE adoptó la NIS2 para reforzar los requisitos de seguridad y la resiliencia cibernética. Los 27 Estados miembros de la UE tuvieron hasta el 17 de octubre de 2024 para incorporar la Directiva NIS2 a la legislación nacional aplicable.
La NIS2 amplía la Directiva NIS original para abarcar más sectores industriales, incorporando medidas adicionales de gestión del riesgo y obligaciones de notificación de incidentes. También contempla una aplicación más estricta. La NIS2 complementa a la NIS en 4 áreas clave:
- Ámbito de aplicación ampliado: la NIS2 extiende su alcance a más sectores, pasando de siete a dieciocho. La NIS2 también ha clasificado los sectores como esenciales e importantes, lo que conlleva diferentes requisitos de supervisión.
- Requisitos de seguridad más estrictos: la Directiva establece medidas de ciberseguridad más estrictas. Dichos requisitos implican prácticas de gestión de riesgos, medidas técnicas y organizativas, planes de respuesta y recuperación ante incidentes, formación de los empleados, y actualizaciones y parches frecuentes.
- Notificación obligatoria de incidentes con plazos específicos: la NIS2 exige a las organizaciones que notifiquen los incidentes de ciberseguridad significativos, que son aquellos que es probable que afecten negativamente a la prestación de los servicios de la organización. Las organizaciones deben emitir un informe de «Alerta temprana» con un formato estandarizado y un plazo de notificación más corto de 24 horas, seguido de una «Notificación del incidente» en un plazo de 72 horas desde que se tuvo conocimiento del mismo, así como un «Informe final» en un plazo de 30 días.
- Imposición mediante sanciones: la Directiva NIS2 impone sanciones más severas en caso de incumplimiento, incluido el aumento de las sanciones económicas.
La NIS2 ha ampliado el ámbito de aplicación de la directiva de 7 a 18 sectores. La versión anterior del NIS identificaba como sectores esenciales la sanidad, el transporte, las infraestructuras digitales, el suministro de agua, la banca, las infraestructuras de los mercados financieros y la energía. La NIS2 añade los proveedores de servicios digitales, la gestión de residuos, el sector farmacéutico y los laboratorios, el espacio y la administración pública a la categoría de sectores «Esenciales». NIS2 también añade una categoría de sector «Importante», que incluye proveedores de comunicaciones públicas, fabricantes de productos químicos, productores y distribuidores de alimentos, fabricantes de dispositivos críticos, redes sociales y mercados en línea, y servicios de mensajería.
Las entidades esenciales deben cumplir los requisitos de supervisión, mientras que las entidades importantes únicamente están sujetas a una supervisión ex post. La supervisión ex post denota que las medidas de supervisión únicamente se emprenderán si las autoridades reciben pruebas de que se ha producido un incumplimiento.
El artículo 21 de NIS2 establece: «Los Estados miembros deberán garantizar que las entidades esenciales e importantes adopten medidas técnicas, operativas y organizativas apropiadas y proporcionadas para gestionar los riesgos que afectan a la seguridad de los sistemas de redes e información que dichas entidades utilicen para sus operaciones o la prestación de sus servicios, así como para prevenir o minimizar el impacto de los incidentes sobre los destinatarios de sus servicios y sobre otros servicios». El objetivo del artículo 21 es proteger los sistemas de red e información y el entorno físico de dichos sistemas frente a incidentes, e incluirá al menos lo siguiente:
(a) Políticas sobre análisis de riesgos y seguridad de los sistemas de información.
(b) Gestión de incidentes.
(c) Continuidad del negocio, como la gestión de copias de seguridad, la recuperación ante desastres y la gestión de crisis.
(d) Seguridad de la cadena de suministro, incluidos los aspectos relacionados con la seguridad en las relaciones entre cada entidad y sus proveedores o prestadores de servicios directos.
(e) Seguridad en la adquisición, el desarrollo y el mantenimiento de redes y sistemas de información, incluida la gestión y divulgación de vulnerabilidades.
(f) Políticas y procedimientos para evaluar la eficacia de las medidas de gestión del riesgo de ciberseguridad.
(g) Prácticas básicas de ciberhigiene y formación en ciberseguridad.
(h) Políticas y procedimientos relativos al uso de la criptografía y, cuando proceda, del cifrado.
(i) Seguridad de los recursos humanos, políticas de control de acceso y gestión de activos.
(j) Uso de soluciones de autenticación multifactor o de autenticación continua, comunicaciones de voz, vídeo y texto seguras, y sistemas seguros de comunicación de emergencia dentro de la entidad, cuando corresponda.
El artículo 23 de la NIS2 exige que todo incidente significativo de ciberseguridad «…que tenga un impacto significativo en la prestación de sus servicios…» sea notificado, haya afectado o no a las operaciones de la entidad. El cambio más relevante en materia de notificación de incidentes es la forma en que la Directiva NIS2 detalla el proceso obligatorio de notificación en varias fases y el contenido que debe incluirse.
Alerta temprana:
en 24 horas. Debe presentarse un informe inicial a la autoridad competente o al CSIRT nacional correspondiente en un plazo de 24 horas desde que se produzca un incidente de ciberseguridad. El informe inicial debe ofrecer una advertencia temprana cuando pueda existir un impacto transfronterizo o intervenga algún elemento malicioso. Esta primera notificación tiene como objetivo limitar la posible propagación de una ciberamenaza.
Notificación del incidente de seguimiento:
en 72 horas. Debe remitirse un informe de notificación más detallado en un plazo de 72 horas. Este informe debe incluir una evaluación del incidente, su gravedad, su impacto y los indicadores de compromiso. La entidad afectada también debe notificar el incidente a las autoridades policiales si se trató de un acto delictivo.
Informe final: en un mes.
Debe presentarse un informe final en el plazo de un mes tras la notificación inicial o el primer informe. Este informe final debe incluir:
- Una descripción detallada del incidente.
- La gravedad y las repercusiones.
- El tipo de amenaza o causa que probablemente haya provocado el incidente.
- Todas las medidas de mitigación aplicadas y en curso.
Además, en virtud de la Directiva NIS2, las entidades deben notificar cualquier ciberamenaza importante que identifiquen y que pueda dar lugar a un incidente significativo. Se considerará que una amenaza es significativa si provoca:
- Una alteración operativa material o pérdidas financieras para la entidad afectada.
- Puede afectar a personas físicas o jurídicas causando daños materiales o inmateriales significativos.
El incumplimiento de la Directiva NIS2 conlleva sanciones más estrictas que la NIS. En virtud de la Directiva NIS2, las sanciones por incumplimiento difieren para las entidades esenciales y para las entidades importantes.
- En el caso de las entidades esenciales, las multas administrativas pueden ascender hasta 10 000 000 € o al menos el 2 % del volumen de facturación anual total a nivel mundial en el ejercicio fiscal anterior de la empresa a la que pertenece la entidad esencial, cualquiera que sea la cantidad más elevada.
- En el caso de las entidades importantes, las multas administrativas pueden ascender a 7 000 000 € o al menos al 1,4 % del volumen de facturación anual total a nivel mundial en el ejercicio fiscal anterior de la empresa a la que pertenezca la entidad importante, cualquiera que sea la cantidad más elevada.
Informe técnico
Directiva sobre Seguridad de las Redes y de la Información 2 (NIS2)
Descubra cómo las organizaciones cumplen con la Directiva NIS2 a través de nuestras soluciones integrales de ciberseguridad y obtenga más información sobre los requisitos de la NIS2.
Cómo Thales puede ayudar a cumplir la Directiva NIS2
Thales e Imperva, una filial de Thales, ofrecen una amplia cartera de productos complementarios de seguridad de aplicaciones, seguridad de datos y gestión de identidades y accesos para proporcionar una solución integral que ayuda a abordar los requisitos de NIS2. Podemos ayudar a las entidades esenciales y a las entidades importantes a cumplir la NIS2 abordando los requisitos esenciales de gestión del riesgo de ciberseguridad previstos en el artículo 21 y ayudando a las organizaciones a elaborar informes completos, precisos y puntuales para satisfacer los requisitos del artículo 23.
Soluciones para el cumplimiento de la directiva NIS2
Seguridad de las aplicaciones
Proteja las aplicaciones y las API a escala en la nube, en entornos locales o en un modelo híbrido. Nuestra gama de productos líder en el mercado incluye un cortafuegos para aplicaciones web (WAF), protección contra ataques de denegación de servicio distribuido (DDoS) y contra ataques de bots maliciosos, seguridad para API, una red de distribución de contenidos (CDN) segura y autoprotección de aplicaciones en tiempo de ejecución (RASP).
Gestor de seguridad
Descubrir y clasificar los datos sensibles en entornos de TI híbridos y protegerlos automáticamente en cualquier lugar —ya sea en reposo, en tránsito o en uso— mediante cifrado, tokenización y gestión de claves. Las soluciones de Thales también identifican, evalúan y priorizan los riesgos potenciales para una evaluación del riesgo precisa, además de identificar comportamientos anómalos y supervisar la actividad para verificar el cumplimiento normativo, lo que permite a las organizaciones priorizar en qué concentrar sus esfuerzos.
Gestión de identidades y accesos
Proporcione un acceso fluido, seguro y de confianza a las aplicaciones y servicios digitales para clientes, empleados y socios. Nuestras soluciones limitan el acceso de los usuarios internos y externos basándose en sus funciones y en el contexto, mediante políticas de acceso granulares, autenticación multifactor y dispositivos hardware PKI/FIDO resistentes al phishing, lo que ayuda a garantizar que el usuario adecuado acceda al recurso adecuado en el momento adecuado.
Abordar los requisitos clave de la NIS2
Cómo puede ayudar Thales:
- Descubrir y clasificar los riesgos potenciales de todas las API públicas, privadas y ocultas.
- Identificar los datos sensibles estructurados y no estructurados que estén en riesgo, tanto en entornos locales como en la nube.
- Identificar el estado actual respecto al cumplimiento normativo, documentar las carencias y proponer un plan para alcanzar el cumplimiento normativo total.
Soluciones:
Seguridad de las aplicaciones
Seguridad de los datos
Descubrimiento y clasificación de datos
Cómo puede ayudar Thales:
- Agilizar la gestión de incidencias abriendo y actualizando automáticamente tickets de ServiceNow.
Cómo puede ayudar Thales:
- Mitigar los ataques DDoS en tan solo tres segundos.
- Implementar medidas preventivas para predecir y evitar situaciones de crisis.
Cómo puede ayudar Thales:
- Reducir el riesgo ante terceros manteniendo el control en los entornos locales sobre las claves de cifrado que protegen los datos alojados en la nube.
- Garantizar una separación completa de funciones entre los administradores del proveedor de la nube y su empresa, y restringir el acceso a los datos sensibles.
- Supervisar y alertar de anomalías para detectar y evitar que actividades no deseadas perturben las actividades de la cadena de suministro.
- Habilitar la gestión de las relaciones con proveedores, socios o cualquier usuario externo, con una delegación clara de los derechos de acceso.
- Minimizar los privilegios mediante el uso de autorización de acceso granular basada en relaciones.
Soluciones:
Seguridad de los datos
Administración de claves en la nube
Supervisión de la actividad de los datos
Gestión de derechos de usuario
Descubrimiento y clasificación
Gestión de identidades y accesos
Cómo puede ayudar Thales:
- Detectar y prevenir las ciberamenazas con un cortafuegos para aplicaciones web, garantizando la continuidad operativa y una mayor tranquilidad.
- Proteger los activos críticos de la red frente a ataques DDoS y bots maliciosos, sin interrumpir el tráfico legítimo.
- La seguridad centrada en los datos, independientemente significa que los sensores simples pueden proporcionar seguridad y cumplimiento en el entorno de datos más amplio.
Soluciones:
Seguridad de las aplicaciones
Cortafuegos para aplicaciones web
Protección contra ataques DDoS
Seguridad de los datos
Cómo puede ayudar Thales:
- Ofrecer una visibilidad completa de la actividad sobre los datos sensibles que permita controlar quién tiene acceso, auditar sus acciones y mantener la debida documentación.
Cómo puede ayudar Thales:
- Cifrar los datos en reposo en entornos locales, en múltiples nubes y en entornos de big data o contenedores.
- Seudonimizar la información sensible en las bases de datos.
- Agilizar la gestión de claves en entornos locales y en la nube.
- Proteger las claves criptográficas en un entorno conforme a FIPS 140-2 de nivel 3.
- Proteger los datos en tránsito mediante cifrado de alta velocidad.
Cómo puede ayudar Thales:
- Limitar el acceso de usuarios internos y externos a los sistemas y a los datos según las funciones asignadas y el contexto, aplicando políticas definidas.
- Aplicar medidas de seguridad contextuales basadas en la puntuación de riesgos.
- Evitar la fatiga de contraseñas con el inicio de sesión único inteligente con acceso condicional.
- Crear un acceso fluido, seguro y con protección de la privacidad para sus clientes.
Soluciones:
Gestión de identidades y accesos
Gestión de acceso del personal
Gestión de identidades y accesos de clientes (CIAM)
Seguridad de los datos
Cómo puede ayudar Thales:
- Habilitar la autenticación multifactor (MFA) con la gama más amplia de métodos y factores de forma de hardware y software.
- Construir e implantar políticas de autenticación adaptables basadas en la sensibilidad de los datos o la aplicación.
- Proteger contra ataques de phishing y ataques de intermediario (man-in-the-middle) con autenticadores de hardware PKI y FIDO.
Cómo puede ayudar Thales:
- Los registros conservados durante un año pueden consultarse al instante para realizar búsquedas e investigaciones detalladas. Los datos de auditoría se archivan automáticamente, pero se puede acceder a ellos en cuestión de segundos para efectuar consultas y elaborar informes.
Recursos relacionados
