Noticias

Cómo adaptarse a los requerimientos de la NIS2

A mediados de octubre, las empresas deberán estar preparadas para cumplir con la NIS2, la nueva directiva europea sobre redes y sistemas de información, que reemplaza la normativa anterior de 2016. La NIS2, en vigor desde principios de este año, exigirá que miles de empresas implementen medidas para mejorar la resiliencia y capacidad de respuesta ante incidentes, tanto en el sector público como en el privado, en toda la Unión Europea.

Actualmente, solo el 12% de las compañías españolas cumplen con los requisitos de esta nueva norma, dos puntos porcentuales por debajo del promedio europeo. Sin embargo, más del 80% de los directores de TI confían en que sus organizaciones estarán en conformidad cuando llegue la fecha límite.

“Aunque la UE y sus organismos llevan mucho tiempo trabajando en esta normativa, y las empresas afectadas han sido informadas, es fundamental que los departamentos de TI, de ciberseguridad, gestión de riesgos y legal se coordinen para que en los tres meses que quedan, tengan todo preparado y no dejarlo todo para el final”, explica Juan Francisco Moreda, responsable de /fsafe, la unidad de ciberseguridad de fibratel.

Requerimientos de la NIS2

La nueva directiva afectará a unas 100,000 empresas esenciales e importantes de diversos sectores. Estas empresas deberán implementar medidas proactivas en la gestión y notificación de incidentes, protección de la cadena de suministro, intercambio de información, divulgación de vulnerabilidades, y programas de concienciación y formación.

Según el especialista, «las empresas afectadas ya han sido notificadas, y en Fibratel creemos que esta nueva norma, una vez incorporada a las leyes nacionales, marcará un hito en la ciberseguridad en Europa, mejorando la comprensión de los riesgos, la capacidad de respuesta a las amenazas y la ciberresiliencia. Por lo tanto, es crucial adaptarse a estos requerimientos».

Siguiendo este punto, para ayudar a los clientes españoles a cumplir con los criterios de la NIS2, la unidad de ciberseguridad de Fibratel recomienda:

  1. Preparación para la Directiva: La normativa ahora incluye a organizaciones esenciales (transporte, servicios públicos, salud, banca, operadores de telecomunicaciones e Internet, etc.) e importantes (servicios postales y de mensajería, plataformas de soluciones, buscadores, alimentación, plantas químicas, etc.). Es crucial entender los requisitos de la norma, las obligaciones que impone, el estado actual de la empresa y las medidas a implementar.
  2. Mejores prácticas en gestión de riesgos: Será necesario identificar y evaluar los riesgos, y establecer políticas y procedimientos para mejorar la postura de ciberseguridad.
  3. Implementación de medidas: La normativa exige medidas preventivas como la autenticación multifactor y controles de acceso a sistemas y aplicaciones, sistemas de detección de amenazas, bloqueo y minimización del impacto de ciberataques, y habilitar sistemas de continuidad de negocio.
  4. Revisión del proceso de notificación de incidentes: Los incidentes importantes deben notificarse en 24 horas y los menos relevantes en 72 horas. Se deben definir planes de respuesta efectivos y procedimientos claros de notificación.
  5. Formación: La ley exige políticas de ciberhigiene y formación en ciberseguridad para todos los empleados.

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.