NIS2

NIS2: reduce las diferencias de la directiva de Seguridad de las redes y sistemas de información (NIS)

En 2016, la Comisión Europea implementó la directiva de Seguridad de las redes y sistemas de información (del inglés, Network and Information Security, NIS). La directiva NIS fue la primera legislación de ciberseguridad aplicable a toda la UE, y su objetivo era mejorar la ciberseguridad en la Unión Europea.

En mayo de 2022, para responder a las crecientes amenazas derivadas del aumento de la digitalización y el aumento de los ataques cibernéticos, la Comisión anunció el reemplazo de la directiva NIS y, por consiguiente, el fortalecimiento de los requisitos de seguridad, así como la introducción de medidas de supervisión y requisitos de cumplimiento más estrictos, lo que incluye sanciones alineadas en toda la Unión Europea.

La directiva NIS2 busca impulsar los siguientes aspectos:

1. Escalar

La creciente interconectividad, la rápida digitalización y la conectividad ubicua hace que sea cada vez más importante proteger las empresas contra los riesgos cibernéticos. La redefinición del ámbito de aplicación original para abarcar con mayor claridad los "servicios esenciales" (incluidos el transporte, la banca y la administración pública, y las entidades que operan en servicios como la producción de alimentos, los servicios postales y la gestión de residuos) significa que las medidas de ciberresiliencia deberán adoptarse a una escala mucho mayor en todo el continente.

2. Gobernanza

Otro gran paso importante es la mejora de la gobernanza de seguridad y hacer que los gerentes de alto rango de las empresas asuman responsabilidad en materia de ciberresiliencia. La seguridad cibernética es un asunto que debe tratarse a nivel de juntas directivas y de gerencias de alto rango, y no simplemente delegarse a equipos técnicos. La responsabilidad y rendición de cuentas empoderará a los directores ejecutivos de Seguridad de la Información (CISO), aunque también conlleva la expectativa de que deben comunicarse de manera eficiente con la gerencia de alto rango y convertirse en líderes técnicos y del negocio.

3. Multas y sanciones

A través de la NIS2, se ordena que se confiera un conjunto más integral de potestades a autoridades competentes. Podrán sancionar al menos con un importe fijo o con el 2 % del volumen de las ventas mundiales a las entidades esenciales. Este es un incentivo importante para que las empresas se aseguren de cumplir con sus obligaciones. Estas nuevas posibles sanciones serán un factor impulsor importante para la resiliencia en la Unión Europea y otras zonas.

4. Obligación de respuesta ante incidentes

Se han reducido las diferencias y se han realizado revisiones sobre las obligaciones de respuesta ante incidentes. Por ejemplo, un "impacto importante" sobre una entidad ya no será una métrica definida (número de usuarios afectados), sino que se determinará si hubo una interrupción de servicios esenciales o pérdidas financieras o materiales. Asimismo, se redujeron las notificaciones de 72 a 24 horas, y las notificaciones se realizarán a los usuarios de los servicios y, posiblemente, al público.

Mejorar la ciberseguridad en la Unión Europea

Gracias a décadas de experiencia ayudando a entidades corporativas y empresas públicas a adherirse a mandatos de cumplimiento, Thales ofrece productos y servicios integrados que permiten que su organización fortalezca sus capacidades de seguridad cibernética, aborde la seguridad de las cadenas de suministro, optimice las obligaciones de generación de informes y cumpla con medidas de supervisión y requisitos de cumplimiento más estrictos, lo que incluye las sanciones alineadas en toda la Unión Europea. Además, Thales trabaja en estrecha colaboración con socios para ofrecer soluciones integrales que pueden reducir el alcance de su carga de cumplimiento.

Protección contra los ataques cibernéticos en cada paso del camino

Thales ofrece soluciones integrales de protección de datos que ayudan a las organizaciones a actuar de acuerdo con la directiva NIS2 y a asumir las responsabilidades correspondientes.

• Proteja datos personales y de transacciones en reposo: CipherTrust Manager de Thales, los Luna Hardware Security Modules (HSM) y el mercado de Data Protection on Demand (DPoD) de Thales permiten que las organizaciones gestionen claves de cifrado de manera centralizada y entreguen diversas soluciones de cifrado, tokenización y enmascaramiento de datos para proteger datos personales y de transacciones en archivos, carpetas, aplicaciones y bases de datos, ya sea locales, en la nube o en entornos híbridos.
• Cifre datos financieros y personales en movimiento: los High Speed Encryptors (HSE) de Thales cifran todos los datos que recorren las redes.
• Desarrolle y mantenga sistemas y aplicaciones seguros: los HSM Luna de Thales disponibles de forma local y en la nube como Luna Cloud HSM on DPoD permiten a las organizaciones almacenar de forma segura material de firma en un dispositivo de hardware confiable, lo que garantiza la autenticidad e integridad de cualquier archivo de código de aplicación.
• Implemente medidas de control de acceso robustas: los productos CipherTrust de Thales se pueden configurar para brindar acceso administrativo único y de múltiples factores a los sistemas empresariales instalados de forma local y en la nube. Adicionalmente, SafeNet Trusted Access le permite administrar de forma centralizada identidades de usuario únicas, políticas de autenticación basadas en riesgos y agregar o revocar el acceso a los sistemas en toda la TI híbrida.
• Rastree y supervise todo el acceso a datos sensibles: todos los productos de la cartera de protección de datos de CipherTust de Thales generan registros de auditoría que asientan cualquier operación del ciclo de vida de la clave de cifrado (creación, eliminación, rotación y revocación) y cualquier otra función administrativa que pueda usarse para reconstruir eventos.