SEGURIDAD Y DEFENSA: Manuel Sánchez Gómez-Merelo
SEGURIDAD Y DEFENSA
Blog sobre convergencia y tecnología de Tendencias21
Secciones
Bitácora

Directiva NIS2 para cambiar la Ciberseguridad. Repercusión en las organizaciones


La Directiva NIS2 (Network and Information Systems, siglas en inglés) es una pieza de la legislación de ciberseguridad de la Unión Europea que sustituye y complementa la Directiva NIS1 original, adoptada en julio de 2016.
La actual Directiva NIS2, publicada diciembre de 2022, que establece una lista de medidas mínimas que deben adoptar todas las entidades, tendrá que ser transpuesta por cada Estado miembro de la UE a la legislación nacional y entrará en vigor en octubre de 2024.


11/10/2024

MANUEL SANCHEZ GÓMEZ-MERELO

Esta Directiva extiende las normas de ciberseguridad a nuevos sectores de actividad, en función del tamaño de la organización y su nivel de criticidad.
 

Directiva NIS2 para cambiar la Ciberseguridad. Repercusión en las organizaciones, por Manuel Sánchez Gómez-Merelo


Nos enfrentamos a una normativa con requisitos precisos y estrictos en la gestión de los riesgos y la notificación de los incidentes, ampliando el alcance a nuevos sectores críticos que no estaban contemplados en la normativa anterior NIS, e incorporando la aplicación de sanciones mucho más severas, efectivas, proporcionadas y disuasorias ante cualquier incumplimiento de las disposiciones nacionales adoptadas al amparo de la Directiva.
 

Según una reciente encuesta, el 80% de las empresas confía en cumplir la NIS2, pero el 66% no llegará a tiempo.
 

Objetivos
 

Aumentar el nivel de seguridad en la Unión Europea es el objetivo principal de la NIS2, así como homogenizar y elevar el nivel común de la ciberseguridad y la ciberresiliencia en los países miembros. Para ello, modifica responsabilidades y obligaciones de la NIS1 y endurece ciertas condiciones, como son la obligación de las auditorías y certificaciones, el incremento de la responsabilidad del CISO, así como las nuevas atribuciones a ENISA (Agencia de la Unión Europea para la Ciberseguridad).
 

Los principales objetivos de la Directiva NIS2 son:
 

  • Conseguir que los Estados miembros de la UE cooperen para mejorar la ciberseguridad.
     
  • Establecer un sistema unificado para informar de incidentes de ciberseguridad y gestionar las crisis cibernéticas.
     
  • Fortalecer la seguridad de la cadena de suministro y hacer frente a las nuevas amenazas.
     

Es igualmente objetivo de la Norma elevar el nivel de ciberseguridad y resiliencia de los sistemas de toda la UE frente a ciberamenazas, a través de la Estrategia Nacional de Ciberseguridad (en España data de 2019, y el Plan Nacional de Ciberseguridad aprobado en 2022), adoptando medidas para la gestión de riesgos de ciberseguridad, obligaciones de notificación para las entidades, y normas de obligado cumplimiento relativas al intercambio de información sobre ciberseguridad.
 

Los órganos de dirección de las entidades esenciales e importantes deberán asistir, y ofrecer periódicamente formación especializada similar a sus empleados, al objeto de adquirir conocimientos y destrezas suficientes que les permitan detectar riesgos y evaluar las prácticas de gestión de riesgos de ciberseguridad, y su repercusión en los servicios proporcionados por la entidad.
 

Directiva NIS2 para cambiar la Ciberseguridad. Repercusión en las organizaciones, por Manuel Sánchez Gómez-Merelo


Los pasos para la implementación de la NIS2 deben comenzar con medidas organizativas y técnicas que van desde la revisión interna hasta la formación específica, preparando a las entidades para cumplir no solo con la NIS2, sino también con lo próximo: el Acta de Resiliencia Cibernética (CRA) de la UE.
 

La NIS2 introduce un proceso de notificación de incidentes en fases, que obliga a las organizaciones a informar a las autoridades dentro de las primeras 24 horas de haber detectado un incidente significativo. Esto permite una respuesta más rápida y coordinada a los ciberataques, minimizando el impacto potencial.
 

Los Estados miembros velarán por que los Órganos de Dirección:
 

  • Aprueben las medidas adoptadas, para la gestión de riesgos de ciberseguridad,
     
  • Supervisen su puesta en práctica, y
     
  • Respondan por el incumplimiento.
     

En resumen, la Directiva NIS2 (Network and Information System 2) es una disposición legal que establece un objetivo a alcanzar por los países de la UE y que define unos requisitos mínimos para la ciberseguridad de las infraestructuras críticas y esenciales.
 

Ámbito de aplicación
 

INCIBE-Foto_Seguridad_IoT


Con relación al ámbito de aplicación de dicha Directiva NIS2 en ciberseguridad, se amplía, se concreta y se define dos grupos: entidades esenciales y entidades importantes, aumentando las que se verán obligadas a aplicar los requisitos de ciberseguridad que establece la Directiva.
 

Entidades esenciales:
 

  • Sector Transporte
     
  • Sector Energía
     
  • Sector Banca
     
  • Infraestructura de los mercados financieros
     
  • Sector Sanitario
     
  • Suministro y distribución de agua potable
     
  • Infraestructura digital y servicios TIC
     
  • Sector aguas residuales
     
  • Sector Administración Pública
     
  • Sector Espacio y Navegación Aérea
     

Entidades importantes:
 

  • Sector Correos y mensajería
     
  • Sector gestión de residuos
     
  • Sector fabricación, industria y distribución
     
  • Sector producción y distribución de substancias y mezclas químicas
     
  • Sector producción, transformación y distribución de alimentos
     
  • Sector proveedores de servicios digitales
     

Aspectos claves de la Directiva NIS2
 

Aparte de intentar homogeneizar, para acabar con las diferencias entre los Estados y elevar el nivel de ciberseguridad de las organizaciones, la responsabilidad, la dirección y el liderazgo en materia de ciberseguridad pasa a ser de dos actores principales: el Consejo de Administración de la organización que entre dentro del ámbito de aplicación y el CISO (Chief Information Security Officer) de la compañía.
 

A partir de estos puntos de vista, en la Directiva cabe destacar y resumir los siguientes aspectos clave:
 

  • Se amplía el ámbito de aplicación y se concreta para definir a qué organizaciones y actividades afecta la Directiva NIS2
     
  • Se asigna nuevas responsabilidades a ENISA, como, por ejemplo, la de construir un marco normativo más uniforme, asesorar y orientar a los Estados miembros y a las Autoridades competentes en la definición de sus estrategias en materia de Ciberseguridad.
     
  • Se define y evalúa el establecimiento de plataformas de gestión del riesgo y ciberamenazas.
     
  • Se mejora la gestión de incidentes de ciberseguridad. Para ello, se crea una red (EU-CyCLONe) que se ocupe de la gestión coordinada de dichos incidentes, así como del intercambio de información.
     
  • Se refuerza la revisión de la eficacia de las políticas de ciberseguridad y se da más responsabilidad a la figura del CISO en las organizaciones.
     
  • Las exigencias de ciberseguridad se vuelven más estrictas, y cada Estado miembro debe garantizar que dichos requisitos se cumplen por parte de las organizaciones afectadas.
     
  • Se endurecen y amplían las sanciones y responsabilidades de la alta dirección, que requerirá del asesoramiento del CISO para gestionar la ciberseguridad.
     

Directiva NIS2 para cambiar la Ciberseguridad. Repercusión en las organizaciones, por Manuel Sánchez Gómez-Merelo


La Directiva NIS2 representa una oportunidad para que los operadores de infraestructuras críticas revisen, evalúen y actualicen sus capacidades y operaciones en relación con los requisitos de ciberseguridad reforzados y generen mayor confianza de su funcionamiento.
 

En resumen, muchas actividades e industrias que anteriormente no estaban reguladas en términos de ciberseguridad y ciberresiliencia, deberán ahora cumplir con estrictas medidas de seguridad (prevención + protección) en sus sistemas de información y su gestión, lo que significa que un volumen estimado en más de 100.000 entidades adicionales, deberán adaptarse a los nuevos requisitos y exigencias.


Nuevo comentario:

Bitácora

Editado por
MANUEL SANCHEZ GÓMEZ-MERELO
Eduardo Martínez de la Fe
MANUEL SANCHEZ GÓMEZ-MERELO, es consultor internacional de seguridad, arquitecto técnico y periodista. Completa esta formación con diversos cursos de postgrado en las áreas de seguridad pública y privada, defensa comunicaciones.

Dedicado por más de 30 años a la Consultoría e Ingeniería de Seguridad y Defensa por más de 20 países como asesor para asuntos aeroportuarios, puertos, cárceles hospitales, entidades bancarias, museos, transporte ferroviario, servicios de Correos y puertos.

Es socio fundador y presidente para Europa de la Federación Mundial de Seguridad (WSF), Director para Europa de la Secretaría Iberoamericana de Seguridad, Asesor gubernamental en materia de integración operativa de seguridad pública y privada en diversos países latinoamericanos.

Como experiencia académica es profesor de postgrado en ICADE (Universidad Pontificia Comillas de Madrid) desde 1986, codirector de postgrado en la Facultad de Psicología (Universidad Complutense de Madrid) y director del Curso de Seguridad en Infraestructuras Críticas del Instituto General Gutierrez Mellado de la UNED, así como conferenciante habitual y profesor en más de 20 países sobre Seguridad y Defensa.

Su representación institucional es principalmente como Miembro Experto de la Comisión Mixta de Seguridad del Ministerio del Interior, Director para Europa de la Federación Panamericana de Seguridad (FEPASEP), representante “ad honores” de la Federación de Empresas de Seguridad del MERCOSUR (FESESUR), asesor del BID (Banco Interamericano de Desarrollo) para asuntos de Seguridad Ciudadana y Observatorio de Delincuencia en Panamá, socio fundador y de honor del Observatorio de Seguridad Integral en Hospitales (OSICH), socio fundador y vicepresidente de la Asociación para la Protección de Infraestructuras Críticas (APIC)

Autor y director de la BIBLIOTECA DE SEGURIDAD, editorial de Manuales de Proyectos, Organización y Gestión de Seguridad

Actualmente es presidente y director del Grupo de Estudios Técnicos (GET), socio-senior partner de TEMI GROUP Consultoría Internacional y socio-director de CIRCULO de INTELIGENCIA consultora especializada.
Más sobre el Editor del Blog
Más sobre Manuel Sánchez
Perfil en inglés
Videos de intervenciones
Últimas conferencias
Artículos publicados Archivo por temas y meses (desde marzo 2007-hoy)
Libro como coordinador de obra colectiva:
LIBROS PUBLICADOS
Archivo
Últimos apuntes
Directiva NIS2 para cambiar la Ciberseguridad. Repercusión en las organizaciones 11/10/2024
Necesidades urgentes de la Legislación de Seguridad Privada… para el desarrollo de algo más que servicios complementarios 26/09/2024
Análisis y rigor pendientes de la Seguridad Global 2024: es hora de dar respuestas 09/09/2024
Fortalecer la Seguridad Global a través de la Cultura de Protección 02/08/2024
La GLOBALIZACIÓN de la INSEGURIDAD 18/07/2024
JUEGOS OLÍMPICOS PARÍS 2024. Plan de Seguridad 03/07/2024
Gestión Integral del Riesgo y las Seguridades. Decálogo 17/06/2024
UN DÍA SIN SEGURIDAD PRIVADA... un caos ciudadano 31/05/2024
Director de Seguridad Global. Liderazgo y Servicio 30/05/2024
Seguridad Global. Decálogo de nuevos retos y asignaturas pendientes 06/05/2024
Webs relacionadas
Más sobre Manuel Sánchez
Perfil en inglés
Videos de intervenciones
Últimas conferencias
Artículos publicados Archivo por temas y meses (desde marzo 2007-hoy)
Libro como coordinador de obra colectiva:
LIBROS PUBLICADOS
Tags
amenazas Ciberseguridad ciberterrorismo CISO Consultoría de Seguridad corrupción crisis Dirección de Seguridad Director de Seguridad Formación en Seguridad geopolítica Geoseguridad Gestión del Riesgo IA infraestructuras críticas inseguridad integración de sistemas Inteligencia Artificial Manuel Sánchez Gómez-Merelo políticas de seguridad Resiliencia riesgos seguridad seguridad ciudadana seguridad corporativa Seguridad Global seguridad humana seguridad integral seguridad privada seguridad pública
Blog de Tendencias21 sobre Seguridad y Defensa

Tendencias 21 (Madrid). ISSN 2174-6850