CUMPLIMIENTO DE LA DIRECTIVA EUROPEA NIS2
La directiva NIS2 de la Unión Europea introduce nuevas medidas para fortalecer la ciberseguridad en la UE, exigiendo a las organizaciones adoptar enfoques más sofisticados para gestionar los riesgos y garantizar la protección de los datos.
ISGroup te guía hacia el cumplimiento de NIS2, gracias a nuestro proceso puntual o continuo que incluye servicios, consultoría y formación para implementar las contramedidas necesarias y cumplir con los requisitos de la directiva, además de proteger eficazmente los sistemas informativos.
Solicitar presupuesto para
CUMPLIMIENTO DE LA DIRECTIVA EUROPEA NIS2
Fija una cita
O llámanos al
(+39) 045 4853232
escribe en WhatsApp
Descripción
¿QUÉ ES LA DIRECTIVA NIS2?
La NIS2 es la nueva directiva de la UE relativa a la seguridad de los sistemas informativos. Entró en vigor el 17 de enero de 2023 y debe ser adoptada en España antes del 17 de octubre de 2024. La NIS2 busca mejorar el nivel general de ciberseguridad en la Unión Europea. Esta estrategia comunitaria es necesaria debido a la digitalización y las nuevas amenazas de ciberseguridad.
Las organizaciones sujetas a la NIS2 se dividen en entidades esenciales e importantes. Estas categorías se definen según criterios de pertenencia a un sector y el tamaño de la organización.
¿CÓMO HACER QUE TU EMPRESA SEA CONFORME CON NIS2?
La NIS2 contiene una lista detallada de medidas de gestión de riesgos de seguridad de la información, diseñadas para proteger los sistemas informativos, las redes, las aplicaciones y, en general, las empresas y entidades de posibles incidentes cibernéticos. Estas medidas incluyen análisis de riesgos, gestión de incidentes, continuidad operativa y más.
Para cumplir con NIS2, es necesario adoptar medidas técnicas, operativas y organizativas para gestionar los riesgos de ciberseguridad. Es fundamental garantizar que:
- las políticas de seguridad de la información estén documentadas, comunicadas y evaluadas para protegerse eficazmente de manera proactiva;
- haya procesos bien definidos para prevenir, detectar y responder a los incidentes;
- gestionar las copias de seguridad;
- gestionar la recuperación ante desastres;
- tener un programa formal de gestión de parches;
- tener y aplicar políticas de cifrado;
- tener un sistema de autenticación de dos factores para proteger los accesos críticos y remotos.
ISGroup acompaña a sus consultores y expertos en ciberseguridad para llevar a cabo el proyecto de adecuación de su organización a los requisitos exigidos por la normativa y aumentar significativamente la madurez de su sistema de gestión (o crearlo desde cero) y la seguridad de sus sistemas informáticos.
Obtén la conformidad NIS2 gracias a ISGroup
ISGroup ofrece un camino guiado y una gama completa de servicios para ayudar a las empresas a cumplir con los requisitos mínimos de conformidad con NIS2.
Nuestro enfoque se compone de cuatro fases principales:
- Análisis de la situación actual (GAP Analysis): en esta primera intervención se redacta una evaluación completa del nivel de adecuación respecto a NIS2 en el que se encuentra la empresa, realizando un análisis profundo y detallado de las políticas y prácticas de seguridad.
- Redacción del Plan de Remediación: en este punto, el equipo de ISGroup podrá proporcionar un plan de remediación, es decir, un "plan de acción" para corregir las no conformidades.
- Selección de los servicios de ISGroup para cubrir los requisitos: posteriormente, y en función de las necesidades específicas del cliente, se seleccionan los servicios ofrecidos por ISGroup para cumplir con los requisitos de conformidad con NIS2.
- Verificación del estado de cumplimiento del plan de remediación: finalmente, ISGroup verifica la eficacia de las medidas de seguridad adoptadas por la empresa frente a las principales amenazas, constatando el logro del estándar de conformidad con NIS2.
Mantén la conformidad NIS2 gracias a ISGroup
ISGroup es un aliado que te apoya cada año para garantizar el mantenimiento de la conformidad con actividades planificadas y continuas, tales como:
- Actualización de la evaluación de riesgos para la ciberseguridad;
- Adopción de medidas de seguridad adecuadas;
- Implementar y actualizar procesos de gestión de la ciberseguridad, entre ellos:
- Gestión de riesgos;
- Respuesta a incidentes;
- Comunicación y formación;
- Auditoría y conformidad;
- Garantizar que los procesos estén adecuadamente documentados y probados.
- Aumentar la concienciación y la formación:
- Formar a los empleados sobre las buenas prácticas de ciberseguridad;
- Concienciar sobre los riesgos y responsabilidades en materia de ciberseguridad;
- Monitorear y actualizar:
- Monitorear continuamente la eficacia de las medidas de seguridad implementadas;
- Actualizar las medidas de seguridad y los procesos en función de las nuevas amenazas y vulnerabilidades.
- Rastrear la conformidad:
- Documentar las actividades de conformidad con NIS2;
- Estar preparado para demostrar la conformidad a las autoridades competentes.
¿Estás interesado?
Contáctanos para recibir un presupuesto de los servicios ofrecidos por ISGroup a tu empresa.
Los requisitos de NIS2
|
Requisito mínimo para la conformidad con NIS2 |
Objetivo de seguridad |
Servicio de ISGroup para cumplir con el requisito |
Artículo NIS2 21.aPolíticas para el análisis de riesgos y la seguridad de los sistemas informativos. |
Las políticas de seguridad están documentadas, comunicadas y evaluadas |
vCISO - Virtual CISO
|
Artículo NIS2 21.bGestión de incidentes |
Considera lo siguiente: ¿Existe un proceso para reportar incidentes significativos potenciales? ¿Se ha implementado un sistema de tickets para gestionar y documentar el triage y la respuesta a la detección de incidentes? ¿Existe un proceso para prevenir, detectar y responder a los incidentes? |
vCISO - Virtual CISO
DFIR - Respuesta a Incidentes y Forense Digital MDR - MDR Multi-Signal |
Artículo NIS2 21.cContinuidad del negocio (BC) |
Gestión de copias de seguridad y recuperación ante desastres, y gestión de crisis |
vCISO - Virtual CISO
|
Artículo NIS2 21.dSeguridad de la cadena de suministro |
Asegurarse de que los aspectos de seguridad en las relaciones entre cada organización y sus proveedores directos o proveedores de servicios estén incluidos: Se identifican los riesgos de la cadena de suministro y se implementan medidas para mitigar el riesgo |
vCISO - Virtual CISO
|
Artículo NIS2 21.eSeguridad en la adquisición, desarrollo y mantenimiento de redes y sistemas informativos, incluida la gestión y divulgación de vulnerabilidades. |
La organización es capaz de identificar, monitorear, alertar y responder a una amenaza |
vCISO - Virtual CISO
MDR - MDR Multi-Signal Servicio de Gestión de Vulnerabilidades (MVS) NPT - PRUEBAS DE PENETRACIÓN DE RED WAPT - PRUEBAS DE PENETRACIÓN DE APLICACIONES WEB MAST - PRUEBAS DE SEGURIDAD DE APLICACIONES MÓVILES EH - HACKING ÉTICO |
Artículo NIS2 21.fPolíticas y procedimientos para evaluar la eficacia de las medidas de ciberseguridad |
Las políticas de ciberseguridad están documentadas, comunicadas y evaluadas para la gestión del riesgo cibernético |
vCISO - Virtual CISO
NPT - PRUEBAS DE PENETRACIÓN DE RED WAPT - PRUEBAS DE PENETRACIÓN DE APLICACIONES WEB MAST - PRUEBAS DE SEGURIDAD DE APLICACIONES MÓVILES EH - HACKING ÉTICO |
Artículo NIS2 21.gPrácticas básicas de higiene cibernética y formación en ciberseguridad. |
Considera lo siguiente: ¿Existe un programa formal de gestión de parches y un programa de gestión de vulnerabilidades? ¿Se realiza regularmente una formación sobre concienciación en ciberseguridad? |
vCISO - Virtual CISO
CTS - Simulación de Amenazas Cibernéticas
|
Artículo NIS2 21.hPolíticas y procedimientos para el uso de técnicas criptográficas, incluida la criptografía cuando sea apropiado. |
¿Se implementan políticas y procedimientos para el uso de la criptografía y para establecer cuándo recurrir al cifrado? |
vCISO - Virtual CISO
|
Artículo NIS2 21.iSeguridad de los recursos humanos, control de accesos y gestión de activos. |
¿Se han identificado los activos en el alcance, se monitorean activamente y se gestionan las vulnerabilidades y amenazas? Es fundamental que todos los procesos críticos y los recursos relacionados estén adecuadamente identificados, documentados y protegidos por medidas de seguridad adecuadas. |
vCISO - Virtual CISO
Servicio de Gestión de Vulnerabilidades (MVS) MDR - MDR Multi-Signal |
Artículo NIS2 21.jUso de soluciones de autenticación de dos factores o autenticación continua, comunicaciones de voz, video y texto seguras y sistemas de comunicación de emergencia seguros dentro de la organización, donde sea necesario |
¿Se utiliza la autenticación de dos factores para los accesos críticos (sistemas/servicios), el acceso remoto, los accesos con privilegios y el acceso a la nube? |
vCISO - Virtual CISO
|
Mapeo entre los controles NIS2 y los servicios de ISGroup
NIS2 Artículo 21.a
| Requisitos mínimos de conformidad NIS2 | Políticas para el análisis de riesgos y la seguridad de los sistemas informativos. |
| Objetivo de seguridad | Documentar las políticas de seguridad, comunicarlas y evaluarlas. |
Servicios de ISGroup para cubrir el requisito:
-
Virtual CISO (vCISO)
Evaluación de la Madurez del Programa de Seguridad
Revisión y Orientación de Políticas de Seguridad
NIS2 Artículo 21.b
| Requisitos mínimos de conformidad NIS2 | Gestión de incidentes. |
| Objetivo de seguridad |
Crear un proceso para la notificación de incidentes significativos. Implementar un sistema de tickets para la gestión y documentación del triage desde la detección hasta la respuesta de los incidentes. Crear un proceso para prevenir, detectar y responder a los incidentes. |
Servicios de ISGroup para cubrir el requisito:
-
Virtual CISO (vCISO)
Planificación de Respuesta a Incidentes de Seguridad
Evaluación de la Madurez del Programa de Seguridad - Respuesta a Incidentes y Forense Digital (DFIR)
- MDR Multi-Signal (MDR)
NIS2 Artículo 21.c
| Requisitos mínimos de conformidad NIS2 | Continuidad del Negocio (BC). |
| Objetivo de seguridad | Gestión de copias de seguridad y Recuperación ante Desastres (DR) y gestión de crisis. |
Servicios de ISGroup para cubrir el requisito:
-
Virtual CISO (vCISO)
Evaluación de la Madurez del Programa de Seguridad
Planificación de Respuesta a Incidentes de Seguridad
NIS2 Artículo 21.d
| Requisitos mínimos de conformidad NIS2 | Seguridad de la Cadena de Suministro. |
| Objetivo de seguridad |
Asegurarse de que se consideren los aspectos de seguridad en las relaciones entre la organización y sus proveedores directos o de servicios. Identificar los riesgos de la Cadena de Suministro e implementar medidas para mitigar el riesgo. |
Servicios de ISGroup para cubrir el requisito:
-
Virtual CISO (vCISO)
Gestión de Riesgos de Proveedores
NIS2 Artículo 21.e
| Requisitos mínimos de conformidad NIS2 | Seguridad en la adquisición, desarrollo y mantenimiento de redes y sistemas informativos, incluida la gestión y divulgación de vulnerabilidades. |
| Objetivo de seguridad |
La organización es capaz de identificar, monitorear y alertar. Posee las capacidades para responder a una amenaza. |
Servicios de ISGroup para cubrir el requisito:
-
Virtual CISO (vCISO)
Evaluación de la Madurez del Programa de Seguridad - MDR Multi-Signal (MDR)
- Servicio de Gestión de Vulnerabilidades (MVS)
-
Pruebas de Penetración (PT)
Pruebas de Penetración de Red (NPT)
Pruebas de Penetración de Aplicaciones Web (WAPT)
Pruebas de Seguridad de Aplicaciones Móviles (MAST)
Hacking Ético (EH)
NIS2 Artículo 21.f
| Requisitos mínimos de conformidad NIS2 | Políticas y procedimientos para evaluar la eficacia de las medidas de ciberseguridad y de la información. |
| Objetivo de seguridad | Las políticas de ciberseguridad están documentadas, comunicadas y evaluadas para una correcta gestión del riesgo. |
Servicios de ISGroup para cubrir el requisito:
-
Virtual CISO (vCISO)
Evaluación de la Madurez del Programa de Seguridad
Revisión y Orientación de Políticas de Seguridad -
Pruebas de Penetración (PT)
Pruebas de Penetración de Red (NPT)
Pruebas de Penetración de Aplicaciones Web (WAPT)
Pruebas de Seguridad de Aplicaciones Móviles (MAST)
Hacking Ético (EH)
NIS2 Artículo 21.g
| Requisitos mínimos de conformidad NIS2 |
Prácticas básicas de Higiene Cibernética Formación en ciberseguridad. |
| Objetivo de seguridad |
Formalizar un programa de gestión de vulnerabilidades, parches y cambios. Realizar regularmente una formación sobre concienciación en ciberseguridad. |
Servicios de ISGroup para cubrir el requisito:
-
Virtual CISO (vCISO)
Evaluación de la Madurez del Programa de Seguridad
Revisión y Orientación de Políticas de Seguridad -
Simulación de Amenazas Cibernéticas (CTS)
Phishing Gestionado
Formación en Concienciación de Seguridad
NIS2 Artículo 21.h
| Requisitos mínimos de conformidad NIS2 | Políticas y procedimientos para el uso de técnicas criptográficas. |
| Objetivo de seguridad | Implementar políticas y procedimientos para el uso de la criptografía y para establecer cuándo recurrir al cifrado. |
Servicios de ISGroup para cubrir el requisito:
-
Virtual CISO (vCISO)
Evaluación de la Madurez del Programa de Seguridad
Revisión y Orientación de Políticas de Seguridad
Revisión de Arquitectura de Seguridad
NIS2 Artículo 21.i
| Requisitos mínimos de conformidad NIS2 |
Seguridad de los recursos humanos. Control de accesos. Gestión de activos. |
| Objetivo de seguridad |
Identificar los activos en el alcance, realizar un monitoreo activo y gestionar las vulnerabilidades y amenazas. Es fundamental que todos los procesos críticos y los recursos relacionados estén adecuadamente identificados, documentados y protegidos por medidas de seguridad adecuadas |
Servicios de ISGroup para cubrir el requisito:
-
Virtual CISO (vCISO)
Evaluación de la Madurez del Programa de Seguridad
Revisión y Orientación de Políticas de Seguridad - MDR Multi-Signal (MDR)
- Servicio de Gestión de Vulnerabilidades (MVS)
NIS2 Artículo 21.j
| Requisitos mínimos de conformidad NIS2 |
Uso de soluciones de autenticación de dos factores o autenticación continua. Comunicaciones de audio, video y texto seguras. Sistemas de comunicación de emergencia seguros dentro de la organización. |
| Objetivo de seguridad | Utilizar la autenticación de dos factores para los accesos críticos (sistemas/servicios), el acceso remoto, los accesos con privilegios y el acceso a la nube. |
Servicios de ISGroup para cubrir el requisito:
-
Virtual CISO (vCISO)
Evaluación de la Madurez del Programa de Seguridad
Revisión de Arquitectura de Seguridad
NIS2 es la actualización de una directiva de la UE sobre ciberseguridad. Establece reglas armonizadas para toda la Unión Europea.
¿Cuál es la diferencia entre NIST y NIS2?
La Directiva NIS2, también conocida como Directiva sobre la seguridad de las redes y los sistemas de información, es un marco crucial que establece los estándares y requisitos de ciberseguridad para las empresas. La NIS2 es una normativa de la Unión Europea (UE) que busca mejorar la ciberseguridad de los operadores de infraestructuras críticas y los proveedores de servicios digitales. Su objetivo principal es garantizar la continuidad de los servicios esenciales y la protección de las infraestructuras críticas frente a las amenazas cibernéticas. La NIS2 se basa en la directiva NIS original emitida en 2016, aportando importantes actualizaciones destinadas a simplificar el proceso de implementación. Según el documento The NIS2 Directive Briefing del Parlamento Europeo, los tres objetivos generales de la directiva NIS2 son:
Aumentar el nivel de resiliencia cibernética de un conjunto completo de empresas que operan en la Unión Europea en todos los sectores afectados.
Reducir las incoherencias en la resiliencia en el mercado interno en los sectores ya cubiertos por la directiva.
Mejorar el nivel de conciencia situacional común y la capacidad colectiva de preparación y respuesta.
En consecuencia, algunos desarrollos clave de la NIS2 incluyen:
Ampliación del ámbito de aplicación: Según la nueva directiva, todas las medianas y grandes empresas de algunos sectores seleccionados estarán dentro del marco normativo, así como las micro-organizaciones consideradas centrales para la sociedad.
Requisitos más estrictos para la notificación de incidentes: El marco normativo reduce el umbral para los incidentes que deben ser reportados.
¿Quién debe cumplir con NIS2?
Deben cumplir con NIS2 las empresas de la Unión Europea que operan en 11 sectores considerados críticos y en 7 sectores considerados importantes. La normativa impone a estas empresas proteger sus sistemas contra ataques cibernéticos y tener planes efectivos para gestionar los incidentes. Para obtener detalles específicos sobre los sectores involucrados, es necesario consultar el texto completo de la directiva NIS2.
¿Cuáles son las reglas de notificación de violaciones de NIS2?
La NIS2 impone reglas estrictas para la notificación de violaciones cibernéticas (Art. 23). La notificación debe realizarse "sin demora indebida", dentro de las 24 horas posteriores al descubrimiento de un incidente significativo (notificación inicial) y con una evaluación inicial dentro de las 72 horas. Esto también se aplica si no hay datos personales involucrados.
¿Cuáles son las sanciones por incumplimiento de NIS2?
Al igual que el GDPR, el incumplimiento de NIS2 conlleva sanciones severas. Por ejemplo, el artículo 34 de la Directiva NIS2 establece las siguientes penalidades por incumplimiento: para las Entidades esenciales hasta €10 millones o el 2% de la facturación anual mundial, para las Entidades importantes hasta €7 millones o el 1.4% de la facturación anual mundial.
¿Estás interesado?
Contáctanos para recibir un presupuesto de los servicios ofrecidos por ISGroup a tu empresa.
Recursos útiles:
Trabajar con nosotros es fácil, solo llama al número (+39) 045 4853232 o envía un correo electrónico para conocernos y discutir tus necesidades en Seguridad IT.
Solicitar presupuesto paraCUMPLIMIENTO DE LA DIRECTIVA EUROPEA NIS2