¿Estás listo para NIS2?
- Actualidad

A mediados de octubre las empresas deberán tener todo listo para cumplir con la NIS2, la nueva directiva europea sobre redes y sistemas de información, que sustituye a la anterior normativa que data de 2016. Según un informe sectorial, solo el 12% de las compañías españolas cumplen los requisitos de esta norma, dos puntos porcentuales menos que la media europea.
Recomendados.... Identidades digitales: centro de la estrategia empresarial. Observatorio ITDS
Combatir amenazas desconocidas con tecnologías Cisco. Acceder
|
NIS2, que entró en vigor a principios de este año, comenzará a aplicarse y obligará a miles de empresas a adoptar un conjunto de medidas para aumentar la resiliencia y las capacidades de respuesta ante incidentes tanto del sector público como del privado, y del territorio de la Unión Europea en su conjunto.
A día de hoy, pese a que solo el 12% de las compañías españolas cumplen los requisitos de esta norma, más del 80% de los directores de TI confían en que sus organizaciones los cumplirán cuando se aproxime la fecha de aplicación.
Al hilo de esto, Juan Francisco Moreda, responsable de /fsafe, la unidad de ciberseguridad de Fibratel, comentaba que “es fundamental que los departamentos de TI, de ciberseguridad, gestión de riesgos y legal se coordinen para que en los tres meses que quedan, tengan todo preparado y no dejarlo todo para el final”.
Algunos aspectos básicos a tener en cuenta
La nueva directiva tiene implicaciones para aproximadamente 100.000 empresas, consideradas esenciales e importantes, de una gran variedad de sectores, que tendrán que implantar de forma proactiva una serie de medidas en materia de gestión y notificación de incidentes, protección de la cadena de suministro, intercambio de información y divulgación de vulnerabilidades, y programas de concienciación y formación, entre otras cuestiones.
Desde la propia Fibratel han publicado cinco aspectos a tener en cuenta para asegurar el cumplimiento de la directiva europea:
- El ámbito de aplicación de esta normativa se ha ampliado, y afecta a organizaciones calificadas como esenciales (transportes, utilities, salud, banca, operadores de telecomunicaciones e Internet…) e importantes (servicios postales y de mensajería, plataformas soluciones, buscadores, alimentación, plantas químicas…).
- Será necesario identificar y evaluar los riesgos, y establecer políticas y procedimientos que permitan mejorar la postura de ciberseguridad.
- La norma exige que se tomen una serie de medidas de prevención, como la implementación de autenticación multifactor y controles de acceso a los sistemas y aplicaciones, sistemas de detección de amenazas, bloqueo y minimización del impacto de ciberataques, así como habilitar sistemas de continuidad de negocio.
- Las incidencias importantes tendrán que notificarse en 24 horas y las menos relevantes en 72. Por tanto, deberán definirse planes efectivos de respuesta y procedimientos claros de notificación.
- La ley exige políticas de formación en ciberseguridad para todos los empleados.