En este artículo os queremos explicar que es la directiva NIS2, los cambios en relación a la primera versión, los cambios en relación al CISO y por tanto en la Ciberseguridad.
La directiva NIS2, publicada diciembre de 2022, entrará en vigor 21 meses después de esta fecha, es decir, en septiembre de 2024, es una nueva versión de la directiva publicada hace 5 años, la Directiva de seguridad de red y de seguridad de la información (ciberseguridad), NIS1 (Network and Information Systems, siglas en inglés).
El objetivo principal de esta versión es homogenizar la ciberseguridad en los países miembros y elevar el nivel común de la ciberseguridad, para esto modifica responsabilidades y obligaciones de la NIS1 o mejor dicho endurece ciertas condiciones, como puede ser la obligatoriedad de las auditorías y certificaciones, aumenta la responsabilidad del CISO y da nuevas responsabilidades a ENISA (Agencia de la Unión Europea para la Ciberseguridad).
En relación al ámbito de aplicación de dicha directiva NIS2 en ciberseguridad se amplia y se concreta, se define dos grupos, entidades esenciales y entidades importantes, aumentando de entidades que se verán obligadas a aplicar los requisitos de ciberseguridad que establece la directiva.
Entidades esenciales:
• Transporte
• Energía
• Banca
• Infraestructura de los mercados financieros
• Sanidad
• Suministro y distribución de agua potable
• Infraestructura digital
• Aguas residuales
• AAPP
• Espacio
Entidades importantes:
• Correo y mensajería
• Gestión de residuos
• Fabricación
• Producción y distribución de substancias y mezclas químicas
• Producción, transformación y distribución de alimentos
• Servicios digitales.
Aspectos claves de la directiva NIS2
A parte de intentar homogeneizar, para acabar con las diferencias entre los estados y elevar el nivel de ciberseguridad de las empresas y la responsabilidad, la dirección y el liderazgo en materia de seguridad digital pasa a ser de dos actores principales: el Consejo de Administración de la empresa que entre dentro del ámbito de aplicación y el Chief Indormation Security Officer (CISO) de la compañía.
A partir de estos puntos de vista se puede destacar los siguientes aspectos:
1. Como hemos comentado anteriormente se amplía el ámbito de aplicación y se concreta para definir a que empresas aplica la directiva NIS2
2. Se asignan nuevas responsabilidades ENISA, como por ejemplo la de construir un marco normativo más uniforme, asesorar y orientar a los Estados miembros y las Autoridades competentes en l definición de sus estrategias en Ciberseguridad y también realizar un informe del estado de la Ciberseguridad de los Estados miembros al Parlamento Europeo de manera bianual.
3. Se mejora la gestión de incidentes de ciberseguridad, para esta gestión de cibercrisis se crea una red (EU-CyCLONe) para la gestión coordinada de dichos incidentes en ciberseguridad como el intercambio de información.
4. Se refuerza la revisión de la eficacia de las políticas de ciberseguridad, por eso la figura del CISO coge más importancia en las empresas.
5. Los requisitos de ciberseguridad se vuelven más estrictos, además cada estado miembro debe garantizar que dichos requisitos se cumplen por parte de las empresas afectadas.
6. Endurecimiento de sanciones y responsabilidades, se imponen multas más elevadas y se asigna más responsabilidades a la alta dirección y que requiere del asesoramiento y responsabilidad del CISO para gestionar la ciberseguridad.
También se habla de la concienciación en ciberseguridad para toda la empresa y en especial al comité ejecutivo o gerencia, entendiendo los riesgos en ciberseguridad del negocio.
Como resumen y sin entrar en detalles de la directiva NIS2, lo que se quiere es que cada vez, más empresas tengan un nivel de madurez en ciberseguridad elevado, cosa que veces no parece tan evidente… Por eso el incremento de las sanciones. Se quiere que se mejore la gestión de la ciberseguridad de la empresa y la respuesta ante incidentes, aquí es donde destaca la figura del CISO, que es la persona de esta gestión y a su vez una gestión continua de la ciberseguridad para dar esa resiliencia a la empresa, porque está claro que los ataques suceden y cada vez más, y la empresa tiene que poder continuar y ser resiliente a esos ataques, que es el nuevo enfoque de la ciberseguridad.
Para todo esto la figura del CISO es vital, se necesita a una persona que gestione, lidere y se responsabilice de la ciberseguridad de la empresa de manera continua.
Fuentes:
Servicio de concienciación en ciberseguridad
Servicio de Cumplimiento y ISO 27001
Si necesita más información, contacte con nosotros y le recomendaremos lo que necesita para su ciberseguridad.