NIS2: un nuevo marco para la ciberseguridad empresarial en la UE

El 17 de octubre es la fecha límite para que las organizaciones adopten y publiquen las medidas necesarias para cumplir con la NIS2, la nueva directiva europea de ciberseguridad. Éstas son sus claves.

La directiva NIS2 (Seguridad de la Información de las Redes y Sistemas de Información, por sus siglas en inglés) comienza a aplicarse el 17 de octubre. Esta nueva legislación de la Unión Europea ha sido diseñada para elevar los estándares de ciberseguridad en toda la región.

Los expertos en la materia indican que la entrada en vigor de la NIS2 marca un antes y un después en el panorama normativo europeo, elevando los estándares de protección de datos y sistemas críticos.

Esta normativa viene a sustituir la primera directiva NIS, que fue aprobada en 2016. Demasiado tiempo para un sector como el de la tecnología, que avanza tan rápido. Y más aún tras el salto que hemos dado en cuanto a la transformación digital de la sociedad tras la pandemia y con el ‘boom’ de la inteligencia artificial.

Así pues, la NIS2 trae una revisión y ampliación de la anterior regulación, estableciendo un marco más robusto y exigente para proteger los servicios esenciales y las infraestructuras digitales, con el objetivo de reducir los riesgos cibernéticos.

¿A quiénes afecta la NIS2?

Una de las principales novedades de la NIS2 es que su alcance es mayor que con la directiva anterior. Esta ampliación trata de cubrir un espectro más amplio de sectores y entidades, considerando que el ciberespacio es cada vez más interconectado y las amenazas cibernéticas son más sofisticadas.

El alcance de la directiva depende de tres factores: ubicación, tamaño y sector. Respecto al primer punto, afecta a aquellas organizaciones que ofrecen servicios o desarrollan actividades en cualquier estado miembro de la UE, como indica S2 Grupo.

En cuanto al tamaño, se circunscribe a organizaciones medianas y grandes, tanto públicas como privadas, siguiendo los criterios de clasificación de la UE. Según la misma, “una mediana empresa ocupa a menos de 250 empleados, tiene un volumen de negocios que no excede los 50 millones de euros y un balance general anual que no excede los 43 millones de euros”.

Y respecto al sector, la NIS2 afecta a todas las organizaciones que desarrollan sus actividades en 11 sectores de alta criticidad y otros 7 sectores críticos. Dichos sectores son considerados críticos debido a su impacto en la sociedad y la economía.

Entre los primeros se incluyen energía, transporte, banca, infraestructuras de mercados financieros, salud, agua potable, aguas residuales, infraestructura digital, gestión de servicios TIC y administración pública, etc.

Además, la directiva señala otros sectores que, aunque no son tan críticos como los anteriores, pueden tener un impacto significativo en caso de un ciberataque, como servicios postales y de mensajería, gestión de residuos, fabricación y distribución de sustancias químicas, producción y distribución de alimentos, fabricación de otros bienes, investigación y, finalmente, proveedores de servicios digitales, como servicios de DNS, plataformas de ecommerce, motores de búsqueda, servicios en la nube, etc. Aunque estos proveedores no estén directamente involucrados en sectores críticos, pueden ser blancos de ataques cibernéticos que podrían afectar a muchos usuarios.

El plazo máximo para la elaboración de la lista de entidades esenciales e importantes por parte de cada uno de los estados concluye el 17 de abril de 2025.

 

Fuente: S2 Grupo

Más exigente

La nueva normativa impone obligaciones más rigurosas en cuanto a gestión de riesgos, detección y respuesta a incidentes, y colaboración con las autoridades competentes.

En primer lugar, exige implementar un sistema de gestión de riesgos robusto, que incluya la identificación, evaluación y tratamiento de las amenazas cibernéticas.

Asimismo, se establecen requisitos más detallados para la detección, notificación y respuesta a incidentes de seguridad, incluyendo la notificación a las autoridades competentes y la colaboración en las investigaciones.

También se exige a las organizaciones que desarrollen planes de continuidad del negocio para garantizar el mantenimiento de sus servicios en caso de un incidente cibernético. Igualmente, se obliga a las empresas a evaluar los riesgos de su cadena de suministros.

Con el fin de adaptarse a las nuevas obligaciones, las organizaciones han de tomar una serie de medidas.

Evaluar los riesgos. “Valorar ciberamenazas de forma sistemática y continua ayudará a identificar posibles vulnerabilidades. Esto implica analizar todos los activos digitales para determinar dónde pueden producirse estas amenazas. La gestión de riesgos debe ser un proceso dinámico que se ajuste a las nuevas tecnologías y tácticas de ataque. De esta manera, las empresas podrán priorizar las áreas más críticas y diseñar estrategias de mitigación efectivas para velar por sus sistemas”, detalla Softtek.

Check Point Software Technologies señala que “el primer paso es realizar un inventario exhaustivo de la infraestructura de TI, identificando bienes, medidas de seguridad actuales y posibles vulnerabilidades”. Además, recomienda contratar consultores especializados para realizar un análisis de carencias y riesgos conforme a la norma ISO 27001 y desarrollar un plan integral de seguridad.

Asegurar la cadena de suministro. Softtek recuerda que las compañías deben garantizar que sus socios y proveedores cumplan con los mismos estándares de ciberseguridad. “Es necesario acometer auditorías con regularidad, seguir los protocolos de seguridad y evaluar las medidas de protección. Al asegurar la cadena de suministro, las organizaciones no sólo protegen sus propios sistemas, sino también los de sus clientes y partners”, subraya la compañía

Además, Check Point remarca que “las empresas deben proteger de forma exhaustiva sus cadenas de suministro, tanto físicas como digitales”. “Esto significa que todas las cadenas de suministro que entran y salen de la empresa o instalación deben ser examinadas en busca de posibles vulnerabilidades y las áreas pertinentes deben ser aseguradas adicionalmente”.

Seguridad general. “Las empresas han de adoptar una estrategia integral de ciberseguridad que no solo proteja activos críticos, sino que también vele por la protección general de toda la infraestructura digital. Esto implica implementar medidas de seguridad robustas como la gestión de identidades y accesos y la monitorización continua de amenazas. La ciberseguridad debe ser una prioridad en todos los niveles de la organización para mitigar riesgos y proteger la integridad de la información y los sistemas”, detalla Softtek.

De igual modo Check Point hace hincapié en la importancia de la seguridad en la adquisición, desarrollo y mantenimiento sistemas. “Es fundamental asegurar los puntos de acceso a la infraestructura informática. También debe garantizarse que personas ajenas no puedan acceder sin autorización a las comunicaciones, añadir datos o sustraerlos”.

Por ejemplo, la compañía aconseja “utilizar firewalls de nueva generación para controlar el acceso al servidor, asegurar que las API utilizadas estén autenticadas, autorizadas y cifradas para evitar fugas de datos e instalar un sistema de Gestión de Identidades y Accesos (IAM) y Zero Trust cuando se trate de derechos de acceso”.

Proteger infraestructuras críticas. Softtek reseña que las empresas que operan este tipo de infraestructuras tienen el deber de implementar medidas de seguridad avanzadas para protegerse contra ofensivas que podrían repercutir a nivel nacional o internacional. “Esto implica aplicar cifrado, autenticación multifactor y segmentación de red para evitar que los atacantes accedan a sistemas sensibles”, detalla.

Al hilo de ello, Check Point señala que el cifrado de datos “es clave para proteger los datos almacenados, procesados y transmitidos”. “Las empresas deben implementar políticas de cifrado robustas y actualizar constantemente sus métodos para estar preparadas ante nuevas amenazas.

Monitorización y auditoría. “Existen diversas herramientas y plataformas de seguridad con capacidades de automatización como machine learning e inteligencia artificial que ayudan a proteger las redes y los sistemas. También es importante contratar a expertos en seguridad para seleccionar, implantar y mantener los sistemas necesarios para que NIS2 garantice una información continua y establecer sistemas de supervisión para detectar y responder a actividades inusuales en tiempo real”, apunta Check Point.

Asimismo, Softtek aconseja vigilar constantemente las redes y sistemas y detectar anomalías al instante. En este sentido, remarca que existen soluciones que pueden identificar amenazas antes de que se conviertan en ataques graves, lo que permite actuar con rapidez y mitigar el daño, además de ofrecer una visión completa del estado de seguridad de la organización y contribuir a la prevención de posibles vulnerabilidades. “Este enfoque proactivo es clave para mantenerse por delante de los atacantes en un entorno de ciberamenazas que no para de evolucionar”, valora.

Gestión de incidentes de seguridad. Pese a todos los esfuerzos, es posible que se acabe produciendo un incidente, por lo que hay que estar preparados. “Es crucial contar con un equipo que monitorice y responda a incidentes de seguridad. Las pruebas de penetración deben ser regulares para evaluar la preparación ante ataques. Se sugiere la contratación de Servicios de Seguridad Gestionados (MSS) desde un Centro de Operaciones de Seguridad (SOC, por sus siglas en inglés) de alta seguridad”, afirma Check Point.

Softtek también pone el acento en la “proactividad” de la gestión de incidentes. “Implica tener planes de respuesta robustos y bien definidos antes de que ocurra una brecha de seguridad. De este modo, las organizaciones pueden reaccionar rápidamente, contener la amenaza y minimizar el impacto en las operaciones. No se trata sólo de detener el ataque, sino de reducir el tiempo de inactividad y evitar pérdidas significativas de datos, que puede derivar en un menoscabo de la confianza de los clientes”.

Formación sobre riesgos. “Las medidas básicas de ciberhigiene y la contratación de expertos para que impartan formación y educación periódicas en seguridad informática a los equipos TI contribuyen a que estén preparados para una emergencia y pueda tomar medidas preventivas con antelación”, especifica Check Point.

Además, Softtek apunta que “todos los miembros de la organización deben conocer los riesgos cibernéticos y recibir formación continua en materia de ciberseguridad. Esto incluye educar al personal sobre las amenazas actuales, las mejores prácticas para evitar ataques y los procedimientos a seguir en caso de un incidente”.

“Fomentar una cultura de seguridad en la que cada trabajador se sienta responsable de proteger los activos digitales ayudará a reducir la probabilidad de errores humanos y a mejorar la capacidad de respuesta ante posibles episodios”, añade la compañía de seguridad.

Ciberseguridad en el consejo de administración. Ligado al punto anterior, Check Point recalca que “la ciberseguridad ya no es sólo el terreno de juego de los CIO o CISO”, sino que “la junta directiva y el resto del equipo ejecutivo necesitan poder confiar en que su estructura de ciberseguridad es lo suficientemente resistente frente a los tipos de ciberataques que se dirigen contra ellos”.

Igualmente, Softtek anota que la alta dirección ha de estar involucrada en la estrategia de ciberseguridad para que la protección sea una prioridad en toda la organización. “El consejo de administración debe estar informado y comprometido con las decisiones clave que afectan a la seguridad de la empresa, desde la asignación de recursos hasta la definición de políticas. Al integrar la ciberseguridad en el nivel más alto de la toma de decisiones, la cultura organizacional en torno a la seguridad queda reforzada. De este modo, la respuesta ante cualquier amenaza es más rápida y coordinada”, expone.

Cumplir las normativas. Finalmente, y como no podía ser de otra manera, Softtek recuerda que las compañías han de adaptarse y estar al día de las actualizaciones legislativas para ajustar sus políticas y procedimientos contemplados en el entorno regulatorio en ciberseguridad, que evoluciona permanentemente para afrontar las nuevas amenazas digitales. “El cumplimiento ayuda a evitar sanciones y proporciona una base sólida para crear una cultura organizacional de ciberseguridad”.

Obligaciones de notificación

Uno de los aspectos más destacados de la NIS2 es la obligación de notificación en caso de sufrir un “incidente significativo” de ciberseguridad. La normativa especifica que se entienden como tal aquel incidente que “haya causado o sea capaz de causar una interrupción grave del funcionamiento de los servicios o una pérdida financiera para la entidad en cuestión”, o que “haya afectado o sea capaz de afectar a otras personas físicas o jurídicas causándoles un daño material o inmaterial considerable”.

En caso de producirse, las organizaciones están obligadas a notificar el incidente al CSIRT (equipo de respuesta ante incidentes) o a la autoridad competente —pendiente de definición en la transposición de la ley en cada estado miembro.

De este modo, las empresas deberán emitir una alerta temprana “sin demora indebida y, en cualquier caso, dentro de las 24 horas siguientes a tener conocimiento del incidente significativo”.

La sanidad, principal objetivo de los ciberataques de ransomware en 2024 según Barracuda

 

En la misma, habrá que indicar si se sospecha que el incidente significativo está causado por actos ilícitos o maliciosos o podría tener un impacto transfronterizo.

Asimismo, la NIS2 obliga a notificar del incidente significativo “sin demora indebida y, en cualquier caso, en el plazo de 72 horas desde que se tenga conocimiento”, actualizando la información de la alerta temprana e indicando una evaluación inicial del incidente, incluida su gravedad e impacto, así como los indicadores de compromiso, en caso de estar disponibles.

Si el CSIRT o la autoridad competente lo reclama habrá que presentar un informe intermedio sobre las actualizaciones de estado pertinentes.

Por último, un mes después de la notificación del incidente como plazo máximo, será preciso emitir un informe final, que deberá incluir descripción detallada del incidente, incluyendo su gravedad e impacto; el tipo de amenaza o causa raíz que probablemente haya desencadenado el incidente; medidas de mitigación aplicadas y en curso; e impacto transfronterizo del incidente, en caso de producirse.

Si el incidente sigue en curso en el momento de la presentación del informe final, la normativa anota que “los estados miembros garantizarán que las entidades afectadas faciliten un informe de situación en ese momento y un informe final en el plazo de un mes a partir de la gestión del incidente”.

Supervisión y sanciones

La NIS2 también indica que las organizaciones podrán ser sometidas a supervisiones para comprobar el cumplimiento de las obligaciones recogidas en la normativa. Dichas supervisiones podrán ser realizadas tanto a priori como a posteriori, de forma periódica y de forma específica.

“En el caso de las entidades importantes, la supervisión será a posteriori y específica. La suspensión temporal de las actividades podría aplicarse en casos de riesgos severos para la seguridad nacional o de la Unión Europea”, precisa S2 Grupo.

Entre las acciones de supervisión se incluyen inspecciones in situ, auditorías de seguridad, análisis de seguridad, solicitudes de información necesaria para evaluar las medidas de gestión de riesgos adoptadas, solicitudes de acceso a datos e información para supervisión y solicitudes de pruebas de la aplicación de las políticas de ciberseguridad, como los resultados de las auditorías, por ejemplo.

En caso de incumplimiento, las sanciones van desde el apercibimiento o la adopción de instrucciones específicas hasta ordenar hacer público el incumplimiento, la imposición de multas administrativas, la suspensión y las prohibiciones temporales, tal y como detalla S2 Grupo.

Las multas que contempla la NIS2 no son nada desdeñables. Para entidades esenciales, se establece un máximo de 10 millones de euros o hasta el 2% del volumen de negocios total anual a nivel mundial, imponiendo aquella de mayor cuantía. Y para entidades importantes, un máximo de 7 millones de euros o el 1,4% del volumen de negocios total anual a nivel mundial.

Cada estado miembro tiene hasta el 17 de enero de 2025 para comunicar el régimen sancionador aplicable.