Casi todo lo que hacemos hoy en día se ha digitalizado. Desde la telemedicina y los pagos instantáneos hasta los medios de comunicación en streaming y la banca móvil, casi todos los aspectos de nuestras vidas se han digitalizado en diversos sectores, remodelando nuestra forma de vivir, trabajar e interactuar.
Esto significa que mantener la seguridad de nuestros sistemas digitales no sólo es bueno, sino absolutamente necesario. La Unión Europea (UE) es consciente de ello y ha actualizado sus normas de ciberseguridad con algo llamado NIS 2.
Este post ayuda a los lectores a entender por qué es importante el SRI 2, qué implica y qué pasos puede plantearse dar a continuación si le afecta.
¿Por qué necesitamos NIS 2?
El primer conjunto de normas, la Directiva SRI, supuso un buen comienzo para establecer la ciberseguridad en toda la UE en 2016. Pero a medida que la tecnología y las amenazas en línea han ido creciendo, también lo ha hecho la necesidad de reforzar las defensas.
Los ciberataques son ahora más avanzados y afectan a más ámbitos, entre ellos sanidad, finanzasla energía y el transporte. La NIS 2 da un paso adelante abarcando más sectores y estableciendo normas más estrictas para que esos sectores las sigan.
¿De qué trata NIS 2?
A quién se aplica: La NIS 2 clasifica las empresas y organizaciones como "esenciales" o "importantes", en función de su tamaño, cuánto dinero ganan y a qué sector pertenecen. Los sectores críticos son la energía, el transporte, la banca, la sanidad y las infraestructuras digitales.
Las reglas: Las empresas cubiertas por la NIS 2 deben contar con sólidas prácticas de ciberseguridad. Esto implica, entre otras cosas, analizar los riesgos, hacer frente a los incidentes de ciberseguridad, garantizar la continuidad de la actividad tras un ataque y mantener una higiene básica de ciberseguridad.
Más controles y sanciones: Ahora hay controles y sanciones más severos. Las organizaciones esenciales tendrán controles antes y después, como visitas in situ y controles de seguridad. Las organizaciones importantes se someterán a controles principalmente después de que se haya producido un incidente. Las multas por incumplimiento de las normas también son más elevadas.
¿Qué debe hacer?
Compruebe su estado: Si pertenece a una organización a la que podría aplicarse el NIS 2, averigüe primero si se le considera "esencial" o "importante". A continuación, adapte sus medidas de ciberseguridad a lo que exige NIS 2.
Papel de la dirección: Los directivos tienen una gran responsabilidad en el marco de la NIS 2. Tienen que asegurarse de que la organización sigue las normas, lo que significa que tienen que estar al día en materia de ciberseguridad. La formación de los directivos y del personal es clave.
Lecciones para los demás: Aunque la NIS 2 no se aplique directamente a su caso, su enfoque en la gestión de riesgos, el mantenimiento de las operaciones sin problemas después de un incidente y los buenos hábitos de ciberseguridad es algo a lo que todas las organizaciones deberían aspirar.
Puntos clave
Cobertura más amplia: NIS 2 incluye ahora más sectores importantes para la sociedad y la economía.
Obligaciones claras: Las organizaciones deben seguir prácticas detalladas de ciberseguridad.
Informe de incidentes: Si algo va mal, las organizaciones deben informar de ello, lo que ayuda a mejorar la transparencia y las respuestas.
Supervisión más estricta: Las normas prevén una supervisión más detallada de las organizaciones, incluidos controles y auditorías.
Responsabilidad de liderazgo: La alta dirección de las organizaciones tiene un importante papel que desempeñar a la hora de garantizar que las medidas de ciberseguridad se apliquen y sean eficaces.
Acciones para las entidades cubiertas por NIS 2
Evaluación y planificación: Averigüe si NIS 2 le afecta y ajuste sus medidas de ciberseguridad en consecuencia.
Comprometer el liderazgo: Asegúrese de que sus líderes participan y están al tanto de lo que hay que hacer.
Prepárate para los controles: Mantenga en orden sus documentos de ciberseguridad y esté preparado para demostrar que cumple las normas.
Resumen
El objetivo de la NIS 2 es garantizar que la infraestructura digital de la UE pueda hacer frente al creciente número de amenazas. Pide más a las organizaciones de los sectores críticos, pero también las orienta sobre cómo protegerse mejor.
Incluso si su organización no se ve directamente afectada, es inteligente adoptar prácticas de ciberseguridad sólidas. En un mundo en el que todo está conectado, desde las aplicaciones móviles hasta los televisores inteligentes, todos tenemos un papel que desempeñar para mantener seguros nuestros espacios digitales.
