Llega NIS2 ¿está tu empresa preparada para cumplir con esta normativa de ciberseguridad?

NIS2 ¿está tu empresa preparada? El 17 de octubre de 2024 es la fecha límite para la adecuación a la Directiva (UE) 2022/2555 (NIS2) a nivel europeo. Esta busca garantizar y homogeneizar el nivel de ciberseguridad de todos los países de la Unión Europea.

Esta aprobación y entrada en vigor, llevada a cabo en 2023, marca un hito en la legislación de ciberseguridad y establece algunas obligaciones para los Estados de la UE.

El principal objetivo de esta norma es eliminar las pronunciadas diferencias y divergencias en materia de seguridad informática entre los Estados Miembros. Para ello establece:

• Obligaciones de ciberseguridad para los Estados.
• Medidas para la gestión de riesgos de ciberseguridad de entidades.
• Obligaciones de notificación para las entidades.
• Obligaciones relativas al intercambio de información sobre seguridad.
• Obligaciones de supervisión y ejecución para los Estados.

¿A quién aplica la NIS2?

Entidades públicas y privadas esenciales e importantes que estén establecidos en la Unión Europea o que ofrezcan servicios a personas dentro de la UE.

Algunos de los sectores considerados esenciales son: agua, energía, infraestructura digital, infraestructuras del mercado financiero y bancario, salud y transporte.

¿Cuándo?

Debe trasponerse a la normativa nacional antes del 17 de octubre de 2024.

Obligaciones para las entidades

• Adoptar medidas de gobernanza, gestión de riesgos de ciberseguridad e información (reporting).
• Adoptar medidas técnicas y organizativas proporcionadas para gestionar los riesgos de ciberseguridad.
• Prevenir y minimizar el impacto de posibles ciberincidentes.
• Notificar los incidentes de ciberseguridad al CSIRT o la autoridad competente correspondiente.
• Que los gestores reciban formación sobre los riesgos de ciberseguridad, siendo responsables en cuanto a la adopción de las medidas adecuadas.
•  Utilizar esquemas europeos de certificación.
• Remitir a las autoridades competentes la información requerida y notificar cualquier cambio en la misma.
• Se contempla el intercambio voluntario de información de ciberseguridad entre entidades esenciales e importantes. También la notificación, de forma voluntaria, a las autoridades competentes ante cualquier incidente, amenaza cibernética o cuasi incidente relevante.

Puntos relevantes relacionados con NIS2

Elaboración de Estrategias de Ciberseguridad: Las empresas deberán desarrollar y mantener estrategias de ciberseguridad que estén en consonancia con los objetivos nacionales y europeos.

Gestión de Riesgos y Notificación de Incidentes: Se requerirá que las empresas adopten un enfoque proactivo en la gestión de riesgos y establezcan sistemas eficaces para la notificación de incidentes cibernéticos.

Designación de Autoridades Competentes: Las empresas necesitarán designar autoridades competentes para la supervisión y el cumplimiento de la directiva, así como para la gestión de crisis de ciberseguridad.

Cooperación y Compartición de Información: Habrá un énfasis en la cooperación entre las empresas y las autoridades nacionales y europeas, así como en la compartición de información sobre amenazas y vulnerabilidades.

Cumplimiento con el Esquema Nacional de Seguridad (ENS): Las empresas deberán alinear sus políticas y procedimientos con el ENS. Este establece un conjunto de medidas de seguridad para la protección de la información y los servicios.

En relación con el Esquema Nacional de Seguridad (ENS), la transposición de la NIS2 implica que las empresas deberán ajustar sus sistemas de gestión de seguridad de la información para cumplir con los perfiles de cumplimiento específicos del ENS. Esto incluye:

• Análisis de Riesgos: Realizar un análisis de riesgos que contemple las vulnerabilidades y amenazas generalizadas, siguiendo los criterios.
• Medidas de Seguridad: Implementar medidas de seguridad adecuadas, como mecanismos de autenticación robustos y componentes certificados, para proteger contra accesos no autorizados y otros riesgos cibernéticos.
• Declaración de aplicabilidad: Presentar una declaración de aplicabilidad que detalle las medidas de seguridad que son de aplicación y cómo estas se alinean con los requisitos de la NIS2.

Cosmikal Endurance, para el cumplimiento de la normativa

Cosmikal pone a disposición de las entidades Endurance, que emerge como una solución única para ayudar a cumplir con los requisitos de NIS2.

No solo ayuda a las empresas a gestionar y monitorear el acceso privilegiado a sistemas críticos, sino que también fortalece la postura de seguridad al prevenir el acceso no autorizado y mitigar los riesgos de ataques internos.

Con esta implementación, su compañía ocupará una posición destacada en la protección de sus activos digitales invirtiendo en continuidad y confianza. Y por supuesto, estará alineada con la nueva regulación. Descubre cómo Cosmikal Endurance puede ser el aliado de la entidad para el cumplimiento de la NIS2 y el ENS.

🔗 Descubre en la parte 2 cómo te ayuda Cosmikal Endurance en el cumplimiento de la NIS2