Por Thomas Douglas, Global ICT Industry Manager en DNV
La Directiva NIS2 (Network & Information Security 2) sustituye a la primera Directiva (NIS), cuyo objetivo es regular las medidas para mejorar el nivel de ciberseguridad en la UE y su preparación para hacer frente a los ciberataques. NIS 2 establece un marco para la cooperación paneuropea con relación al intercambio de información y trata de inculcar las mejores prácticas de ciberseguridad y medidas de gestión.
La nueva normativa entró en vigor el 16 de enero de 2023 y los Estados miembros de la UE deberán incorporarla a la legislación nacional antes del 17 de octubre de 2024. Por ello, es importante que las organizaciones comprendan cómo les afectará y qué medidas deben adoptar para demostrar su cumplimiento.
La directiva establece requisitos específicos para las empresas que están cubiertas y también tiene consecuencias para un gran número de empresas que no lo están.
¿Está preparada tu organización para afrontar los retos actuales de la seguridad de la información? Como empresario o directivo, es posible que ya estés familiarizado con el concepto de SRI (Seguridad de las Redes y de la Información). Ahora bien, ¿conoces la legislación que debes seguir?
NIS2 es una directiva para proteger nuestra infraestructura crítica de las amenazas de ciberataques. Afecta tanto a las empresas privadas como al sector público, obligándoles a poner en marcha medidas para contrarrestar los ataques malintencionados y garantizar que las organizaciones estén preparadas en caso de amenaza.
Ocho cuestiones de ciberseguridad que deben abordarse antes de la implementación de NIS2
Para garantizar una óptima protección y adecuarse a la directiva NIS 2, existen algunas áreas clave que hay que considerar. A continuación, enumeramos las cuestiones que deben ser abordadas antes de que la directiva entre en vigor:
- Obligación de informar: si eres una organización significativa o importante, debes notificar las violaciones e incidentes graves de seguridad a las autoridades nacionales (CSIRT de tu sector – Computer security incident response team) sin demora indebida y en las 24 horas después de tener conocimiento de ello.
- Evaluación de riesgos y medidas de seguridad: las evaluaciones de riesgos deben realizarse periódicamente (y cuando se produzcan cambios). En estos casos, la alta dirección es personalmente responsable de tomar las medidas de seguridad adecuadas para proteger su red y sistemas de información.
- Medidas de seguridad para servicios esenciales: deben aplicarse medidas técnicas y organizativas adecuadas para garantizar un alto nivel de seguridad informática y protegerse de los ciberataques. Aunque no es un requisito legal trabajar con la ISO 27001, los legisladores que han estudiado a fondo esta norma recomiendan directamente utilizar marcos ya «reconocidos» para garantizarlo. No tener en cuenta la ISO 27001 a la hora de establecer las medidas técnicas y organizativas adecuadas, sobre todo si se tienen en cuenta los demás requisitos de la NIS2, demostraría un bajo nivel de conciencia y conocimiento por parte de la organización.
- Compromiso de la dirección: la alta dirección debe mostrar su compromiso y apoyo a la ciberseguridad y establecer políticas y procedimientos claros en la materia. Este es otro requisito esencial de la norma ISO 27001.
- Plan de respuesta a incidentes: es crítico elaborar y aplicar planes eficaces de respuesta para hacer frente de manera rápida y eficaz a las violaciones e incidentes de seguridad de la información.
- Supervisión y registro: como operador, es necesario supervisar continuamente la red y los sistemas de información. Además, es muy recomendable mantener registros detallados de las actividades para facilitar la investigación de las violaciones de seguridad.
- Colaboración con las autoridades: resulta realmente positivo mantener una colaboración estrecha con las autoridades nacionales y el CSIRT, compartiéndoles información sobre amenazas e incidentes para así coordinar una óptima respuesta frente a los ciberataques.
- Competencias y formación: las organizaciones deben asegurarse de que el personal cuenta con las competencias y la formación necesarias en ciberseguridad para combatir amenazas e incidentes.
Cómo la norma ISO 27001 facilita el cumplimiento de NIS2
NIS2 señala qué se debe hacer en materia de ciberseguridad, pero no cómo hay que hacerlo. Los principales requisitos de NIS2 son muy similares a los de ISO 27001. Sin embargo, la directiva NIS2 no menciona la norma ISO 27001 debido a que los legisladores no proporcionan herramientas específicas para aplicar la legislación, es decir, existe cierta libertad de metodología.
No hay duda de que la norma ISO 27001 se utilizó como marco para desarrollar NIS2, aunque esta no es la única razón por la que ISO 27001 es una herramienta óptima para garantizar el cumplimiento de sus requisitos. De hecho, sólo existen un par de requisitos adicionales más allá de la ISO 27001.
El primero es que esta normativa también exige a las organizaciones que evalúen su impacto en los riesgos sociales y descubran si forman parte de infraestructuras críticas. En este sentido, las empresas deben considerar cuál será el impacto en la sociedad si, por ejemplo, el metro deja de funcionar, no corre el agua de los grifos o no es posible suministrar medicamentos durante un periodo de tiempo posterior a una crisis.
El otro requisito que no se incluye en ISO27001 es la obligación de informar. Si se produce una avería informática, por ejemplo, se dispone de 24 horas para notificarla al CSIRTEN del sector correspondiente.
Los requisitos de la NIS2 son similares a los de la ISO 27001, por lo tanto, aquellas empresas que quieran cumplir con la normativa indirectamente también deberán cumplir con estos requisitos con ISO 27001.
¿Necesitas ayuda para dar el siguiente paso?
Accede a la herramienta gratuita de autoevaluación en línea de DNV para comprobar si tu organización está preparada para certificarse con la norma ISO 27001. Más información en: https://subscribe.dnv.com/SelfAssessment_ISMS
Thomas Douglas, Global ICT Industry Manager en DNV
