Todo lo que debes saber sobra la ampliación de la Ley de Ciberseguridad (NIS2)… y un poco más
La Unión Europea, con la NIS2 ha ampliado la Ley de Ciberseguridad anterior con el objetivo de unificar el reglamento y evitar diferencias entre los estados miembros. La NIS2 establece obligaciones, penalizaciones, gestión de riesgos y notificaciones de incidencias, afectando a más de 160 mil organizaciones en 15 sectores, con multas de hasta 10 millones de euros por incumplimiento.
Los Estados miembro deben aplicarla a partir del 17 de octubre de 2024.
¿A quién aplica la NIS2?
La directiva se aplica a entidades públicas y privadas medianas o grandes en la UE, incluyendo empresas con más de 50 empleados o un volumen de negocio superior a 10 millones de euros. También afecta a pequeñas y microempresas que desempeñen un papel clave en la sociedad o economía.
Importancia del cumplimiento de la NIS2
Cumplir con la NIS2 protege contra ciberataques, mejora la gestión de riesgos y el control de incidencias, y aumenta la madurez en temas de seguridad. Esto ayuda a identificar vulnerabilidades rápidamente, minimizando el impacto en los datos y la reputación de la empresa, y evitando multas y penalizaciones.
Qué necesitas para la implementación de la NIS2
Se necesita un ciclo de mejora continua en ciberseguridad, respaldado por un Órgano de Gestión para la Seguridad. Este órgano debe definir roles y responsabilidades, analizar el nivel de madurez en seguridad, establecer políticas de seguridad, asignar recursos y supervisar la implementación de medidas de seguridad.
Qué medidas técnicas y organizativas tienes que tener en cuenta para cumplir con la NIS2
Incluyen políticas de seguridad, inventario de activos, planes de continuidad de negocio, actualización de parches de seguridad, mecanismos de prevención y detección de intrusiones, autenticación y control de acceso, segmentación de redes, y sistemas de protección contra ataques DoS. Se hace necesaria la realización de auditorías internas y externas.
Una vez implantadas las medidas técnicas es necesario madurar en la Gestión de incidencias y mejora continua: Es crucial tener sistemas de monitorización y protocolos para actuar rápidamente ante incidencias. En caso de ciberataque, se deben aplicar procedimientos de bloqueo y restauración, y obliga a reportar a las autoridades competentes en un tiempo determinado dependiendo de la criticidad de la incidencia. Además, es recomendable realizar análisis postmortem de las incidencias, ya que ayuda a reforzar la protección de las infraestructuras, detección precoz de una vulnerabilidad y minimizar el tiempo de exposición.
Por último, hay que tener en cuenta que debemos no sólo controlar nuestros activos, sino también, nuestros proveedores deben estar involucrados en la gestión de la seguridad, con medidas de gestión de riesgos y auditorías de seguridad. Ellos también deben cumplir con los estándares mínimos de seguridad acordes con la política de la organización y la NIS2.
Inycom ofrece apoyo integral en la implementación de la NIS2, desde la evaluación del nivel de madurez hasta la implantación de medidas organizativas, técnicas y de procesos, asegurando una cultura de mejora continua en ciberseguridad. Cuenta con nosotros.
Social Links: