NIS2, la ciberseguridad en el nuevo panorama normativo
NIS2, la ciberseguridad en el nuevo panorama normativo
En un artículo de hace poco más de un año, comentábamos que estaba a la puerta de la esquina la normativa NIS2 (Network and Information Security Directive 2), normativa, que sustituía a la Directiva NIS original de 2016, ampliaba su alcance, endurecía los requisitos y establecía un marco más robusto para proteger las infraestructuras críticas y los servicios esenciales en toda Europa. Venía acompañada de un nuevo marco normativo (Reglamento Dora, la Estrategia de Ciberseguridad Europea, la Directiva CER, el Reglamento de Ciberseguridad, el Reglamento para Ciberresilencia o la Ley de IA) en el panorama actual donde la ciberseguridad ha tomado un punto de gran relevancia. Todo ello acompañado de un marco de sanciones más severo,
A fecha actual hemos comprobado, que en este último año, este tsunami normativo se ha traducido en un proceso de concienciación en la que muchas empresas se han sumado o como mínimo están tomando conciencia de su relevancia. Cada normativa incide en ciertos ámbitos concretos, profundiza unos u otros, pero hay grandes coincidencias y sinergias en la mayoría.
En el caso concreto de NIS2, aparte de grandes corporaciones, donde ya se había estado trabajando desde ya antes de la entrada de la normativa con diferentes borradores de la misma, en este último año muchas entidades han estado trabajando en la adecuación y en trabajos gap para identificar proyectos e iniciativas de alineación con la normativa. La realidad ha sacado a flote los puntos que ya se dejaban entrever, y una conclusión clara que hay aun bastante trabajo a llevar a cabo.
Hay diferentes ámbitos pero viendo los resultados, importancia y sinergias con otras normativas, destacar como conclusión los siguientes aspectos más relevantes del cumplimiento de NIS2:
A día de hoy, hemos de enfocar a conseguir estos objetivos, que no es poco, y orientarnos a los requerimientos relacionados con las pruebas de resiliencia operativa digital, establecer los canales, mecanismos y dinámicas de intercambio de información y estar en disposición de demostrar cumplimiento con los requisitos de DORA mediante auditorías y revisiones periódicas.
A fecha actual hemos comprobado, que en este último año, este tsunami normativo se ha traducido en un proceso de concienciación en la que muchas empresas se han sumado o como mínimo están tomando conciencia de su relevancia. Cada normativa incide en ciertos ámbitos concretos, profundiza unos u otros, pero hay grandes coincidencias y sinergias en la mayoría.
En el caso concreto de NIS2, aparte de grandes corporaciones, donde ya se había estado trabajando desde ya antes de la entrada de la normativa con diferentes borradores de la misma, en este último año muchas entidades han estado trabajando en la adecuación y en trabajos gap para identificar proyectos e iniciativas de alineación con la normativa. La realidad ha sacado a flote los puntos que ya se dejaban entrever, y una conclusión clara que hay aun bastante trabajo a llevar a cabo.
Hay diferentes ámbitos pero viendo los resultados, importancia y sinergias con otras normativas, destacar como conclusión los siguientes aspectos más relevantes del cumplimiento de NIS2:
- Terceros. En relación a la obligación de controlar los riesgos derivados de terceros y proveedores y partiendo de tener un control e inventariado básico de los diferentes proveedores y llegando a una gestión optimizada de los mismos, han salido a flote un amplio abanico de problemas que empiezan en algunos casos por tener este inventario inicial y básico y disponer de los contratos relacionados, que los mismos incluyan cláusulas específicas en seguridad, continuidad y privacidad o el control de los mismos a través de SLAs, reuniones, auditorías de seguridad o validación de prácticas de ciberseguridad y que en los estadios más avanzados falta llegar a la gestión de continuidad pensando en alternativas y gestión del conocimiento del tercero.
- Enfoque basado en riesgos. NIS2 promueve un enfoque basado en riesgos pero muchas entidades carecen de metodologías maduras para aplicarlo. La mayoría disponen de “alguna parte”. Pero aquí se requiere de la definición de la metodología y se requiere tener establecidos los mecanismos para llevarla a la práctica y a partir de su aplicación, implementar los mecanismos necesarios para que el análisis de riesgos forme parte de la filosofía de la entidad y haya realmente una orientación a la gestión y mitigación de los riesgos que van aflorando.
- Ciberseguridad en la cultura organizacional. La cultura organizacional es tan importante como la propia tecnología. La implementación de NIS2 no solo requiere herramientas técnicas, sino también de una formación continua del personal y lo que supone más novedad, la formación y implicación activa de la alta dirección junto con la integración de la ciberseguridad en la estrategia empresarial. Poco a poco va calando pero cuesta este nuevo rol.
- Gestión avanzada de incidentes. Ya no es suficiente tener un registro y gestión básica de incidentes; hemos de ser capaces de tener los mecanismos adecuados para recabar rápidamente la información clave, valorarlos y poder gestionarlos eficientemente (y en muchas ocasiones con la integración de terceros en su proceso) para poder cumplir con los requerimientos temporales asociados.
A día de hoy, hemos de enfocar a conseguir estos objetivos, que no es poco, y orientarnos a los requerimientos relacionados con las pruebas de resiliencia operativa digital, establecer los canales, mecanismos y dinámicas de intercambio de información y estar en disposición de demostrar cumplimiento con los requisitos de DORA mediante auditorías y revisiones periódicas.
Recibe nuestras alertas, eventos y envíos
Suscríbete