Marzo 2023 / lectura de 10 minutos

Prepara a tu organización desde el punto de vista cibernético para NIS2

 

La nueva legislación sobre ciberseguridad de la UE afectará a muchas más organizaciones, con la amenaza de multas para quienes no la cumplan. Consulte nuestra guía para garantizar que tu organización esté preparada desde el punto de vista cibernético para NIS2.

Esta página se irá actualizando con recursos e información relevante acerca de NIS2.

Puntos clave

  1. La directiva sobre seguridad de la información y las redes (NIS2) de la UE entrará en vigor el 18 de octubre de 2024 y se espera que el Reino Unido adopte una legislación similar.
  2. Cada vez más empresas entrarán en el ámbito de aplicación de la legislación con la consiguiente obligación de reforzar sus medidas de ciberseguridad.
  3. Todas las empresas deberían examinar los requisitos de NIS2 y evaluar su cumplimiento o arriesgarse a posibles multas importantes.

¿Qué es la directiva NIS2?

La directiva sobre seguridad de la información y las redes (NIS2) Opens in a new tab de la Unión Europea sustituye a la directiva NIS de 2016 y tiene como objetivo garantizar un «alto nivel común de ciberseguridad en todos los Estados miembros de la UE» reforzando aún más los requisitos de ciberseguridad en infraestructuras críticas y en aquellas industrias y organizaciones indispensables para el funcionamiento de la economía.

NIS2 fue ratificada el 16 de enero de 2023 y todos los Estados miembros de la UE deben garantizar que adoptan y publican las medidas necesarias para cumplir con las directivas antes del 17 de octubre de 2024, de forma que dichas medidas entren en vigor el 18 de octubre de 2024. La ley de la UE no se aplicará a las empresas del Reino Unido, pero se espera que una ampliación de la directiva NIS del Reino Unido incluya requisitos similares a los de NIS2. Las empresas británicas que operen dentro de la UE tendrán que cumplir NIS2 para garantizar que pueden mostrar niveles coherentes de normas de ciberseguridad.

¿Cuáles son los principales cambios?

Los principales cambios de NIS2 son los siguientes:

Ampliación de los sectores industriales y las entidades que entran en el ámbito de aplicación de NIS2.

NIS original cubría a los denominados operadores de servicios esenciales, como proveedores del suministro de agua, la asistencia sanitaria, el transporte y algunos servicios digitales. NIS2 se ha ampliado para incluir sectores como correos y mensajería, alimentación, espacio y aguas residuales, así como numerosas empresas medianas con 50 o más empleados y unos ingresos superiores a 10 millones de euros.

Responsabilidades de la administración.

Los órganos de administración son responsables de aprobar las medidas para la gestión de riesgos de ciberseguridad adoptadas por su empresa, supervisar su aplicación y pueden ser considerados responsables en caso de infracción. Los miembros de los órganos de administración deben recibir formación para adquirir los conocimientos y competencias adecuados para identificar los riesgos y evaluar las prácticas de gestión de riesgos de ciberseguridad y su impacto en sus servicios.

Refuerzo de medidas para la gestión de riesgos de ciberseguridad

Las organizaciones deben adoptar medidas técnicas, operativas y organizativas adecuadas y proporcionadas para gestionar sus ciberriesgos y prevenir o minimizar el impacto de los incidentes en los beneficiarios de sus servicios.

Actualmente existen requisitos mínimos que deben aplicar las organizaciones incluidas en el ámbito de aplicación de NIS2. Estos van desde el uso de autenticación multifactor hasta la gestión de incidentes y políticas, como procedimientos para evaluar la eficacia de las medidas de gestión de riesgos de ciberseguridad.

Las medidas de gestión de riesgos de ciberseguridad adoptadas por la organización deben estar documentadas y debe disponerse de pruebas de la aplicación de las políticas de ciberseguridad. Por ejemplo, su gestión de incidentes debe estar claramente definida y deben disponer de planes de recuperación en caso de incidente.

En caso de incidente cibernético, las organizaciones deben cumplir tres pasos específicos en un plazo de tiempo concreto:

  • Durante las 24 horas posteriores a un ciberataque, debe enviarse una advertencia inicial a la autoridad responsable en su país.
  • En un plazo de 72 horas, debe facilitarse más información sobre el incidente.
  • En el plazo de un mes, debe disponerse de un informe final detallado sobre el incidente.
Ámbito de aplicación de la seguridad de la cadena de suministro

La gestión de riesgos de ciberseguridad se ha ampliado para incluir la seguridad de la cadena de suministro. Las organizaciones incluidas en el ámbito de aplicación de NIS2 deben valorar los puntos débiles específicos de cada uno de sus proveedores directos y prestadores de servicios para prevenir o minimizar el impacto de los incidentes en la cadena de suministro sobre los beneficiarios de sus servicios y sobre otros servicios.

Mayores multas

Las empresas «esenciales» que incumplan la directiva NIS2 se enfrentarán a multas administrativas de un máximo de 10 millones de euros o un máximo del 2 por ciento de su volumen de negocio total anual a nivel mundial (la cifra que sea más elevada), mientras que las empresas «importantes» se enfrentarán a multas de hasta 7 millones de euros o un 1,4 por ciento (la cifra que sea más elevada).

Contacta con nuestro equipo

Contacto

Verónica Jiménez Romero
Directora Specialty Cyber Insurance en Aon
[email protected]

¿A qué empresas afecta la directiva NIS2?

La UE divide la lista de empresas afectadas por la directiva NIS2 en «esenciales» e «importantes» (ver a continuación). Esta lista incluye: proveedores de energía, mercados online, grandes corporaciones, así como numerosas empresas medianas y organismos gubernamentales. Aunque los principales destinatarios de NIS2 son las empresas medianas y las grandes sociedades, algunas empresas más pequeñas también pueden entrar en el ámbito de aplicación de NIS2 si cumplen determinadas condiciones o se consideran esenciales.

Las empresas deben identificar si se ven afectadas por NIS2. Las empresas que forman parte de la cadena de suministro de dichas empresas también pueden verse afectadas. La legislación NIS2 incluye un anexo. Aon también puede ayudarle a comprender si se ve afectado y los siguientes pasos que debe dar.

 

Esencial

Banca

Infraestructura digital (DNS, IXP, TLD, ICT)

Energía

Infraestructuras de los mercados financieros

Asistencia sanitaria

Gestión de servicios TIC

Administración pública

Espacial

Transporte

Agua y alcantarillado

Importante

Proveedores digitales

Industria manufacturera

Fabricación, producción y distribución de productos químicos

Correos y servicios de mensajería

Producción, transformación y distribución de alimentos

Investigación

Gestión de residuos

¿Qué deben hacer ahora las empresas?

Independientemente de que su empresa sea una entidad esencial o importante, todas las organizaciones deben analizar los requisitos de NIS2 y evaluar su cumplimiento antes de la fecha de implantación en octubre de 2024. Dichos requisitos incluyen la adopción de medidas en torno a la gestión del ciberriesgo operativo, la ciber higiene, la respuesta a incidentes, la notificación de incidentes y la seguridad de la cadena de suministro.

Como sucede con el RGPD de la UE, se recomienda a las empresas que inicien este proceso mucho antes para evitar problemas. Gracias a nuestros más de 20 años de experiencia en el suministro de soluciones cibernéticas en diversos ámbitos, podemos ofrecer ayuda, asistencia y asesoramiento en cada etapa del proceso NIS2.

¿Qué exige NIS2?

¿Cómo puede ayudar Aon?

Evaluación de la eficiencia de las medidas de gestión de riesgos de ciberseguridad.

Optimización de las inversiones presupuestarias limitadas para que su organización pueda cosechar un mejor rendimiento máximo de las inversiones en seguridad

Ciber higiene básica

Valoración del estado cibernético y la higiene general de su organización para ayudar a evaluar y señalar las brechas de riesgo y control de seguridad

Autenticación multifactor o continua (AMF)

Apoyo estratégico para la selección, adopción e implantación de soluciones adecuadas de autenticación multifactor

Políticas y procedimientos relacionados con la criptografía

Desarrollo de modelos específicos para la construcción e implementación de módulos específicos de formación para la concienciación de los usuarios.

Seguridad de la cadena de suministro

Alineación del riesgo cibernético en la cadena de suministro con el marco de apetito por el riesgo de la organización y desarrollo de un enfoque específico de la empresa para analizar y orientar la mejora de la resiliencia cibernética de la cadena de suministro.

Gestión de incidentes cibernéticos

Análisis de su preparación para la respuesta a incidentes y desarrollo de protocolos integrales de respuesta a incidentes que incluyan:

  • Evaluación de la preparación ante incidentes
  • Creación de un plan de respuesta a incidentes (IRP)
  • Oferta de retención de respuesta a incidentes (IRR) en todo el mundo
  • Gestión de la continuidad del negocio cibernético
  • Desarrollo de protocolos de reclamación de ciberseguros
Informes de incidentes cibernéticos

Valoración de la capacidad de notificación de incidentes y de respuesta de su empresa, y diseño o ajuste de los procedimientos existentes de notificación de incidentes para garantizar la armonización con los nuevos requisitos normativos

Políticas de análisis de riesgos y seguridad de los sistemas de información

Desarrollo o revisión de sistemas adecuados para la gestión de riesgos armonizados con los marcos de gestión de riesgos empresariales (ERM).

Seguridad en redes y sistemas de información

Control sistemático de amenazas genéricas y específicas dentro de la red y supervisión de las redes profundas y oscuras en busca de amenazas y activos filtrados.

Políticas y procedimientos para evaluar la eficacia en la gestión de riesgos

Desarrollo de marcos para evaluar los riesgos a nivel organizativo combinados con pruebas de estrés en situaciones concretas para analizar la madurez y el rigor generales de la gestión de riesgos.

NIS2: Cuatro preguntas que toda empresa debe plantearse

 

 

  1. ¿Mi empresa está afectada por NIS2?
  2. ¿Nuestra gestión de riesgos se encuentra al nivel adecuado para NIS2?
  3. ¿Mi empresa puede notificar correctamente los incidentes de ciberseguridad?
  4. ¿Cuál es el estado de la gestión de riesgos de la cadena de suministro de mi empresa en lo que respecta a la ciberseguridad?

Aon ofrece a los clientes las herramientas para gestionar el ciclo de vida completo de su seguridad cibernética. Nuestro conjunto integral de soluciones de riesgo cibernético se integra perfectamente para impulsar la eficiencia y la transparencia, así como para ayudar a los clientes a estar mejor informados para proteger sus balances y gestionar eficazmente el riesgo. Descubre aquí cómo el modelo Cyber Loop de Aon puede ayudar a su organización a lograr una ciber resiliencia sostenida.

Haz clic aquí para descargar una versión PDF de este contenido que se pueda compartir.

 

Contacta con nuestro equipo

Si deseas obtener más información sobre cómo Aon puede ayudar a tu organización a prepararse para NIS2, completa el siguiente formulario. Un miembro de nuestro equipo se pondrá en contacto contigo a la mayor brevedad posible.