¿Estás listo para NIS2?

  • Actualidad
ciberseguridad NIS2

A mediados de octubre las empresas deberán tener todo listo para cumplir con la NIS2, la nueva directiva europea sobre redes y sistemas de información, que sustituye a la anterior normativa que data de 2016. Según un informe sectorial, solo el 12% de las compañías españolas cumplen los requisitos de esta norma, dos puntos porcentuales menos que la media europea.

  Recomendados....

Identidades digitales: centro de la estrategia empresarial. Observatorio ITDS
Combatir amenazas desconocidas con tecnologías Cisco. Acceder
Industria y Energía, sectores punteros también en digitalización.
Encuentro IT

NIS2, que entró en vigor a principios de este año, comenzará a aplicarse y obligará a miles de empresas a adoptar un conjunto de medidas para aumentar la resiliencia y las capacidades de respuesta ante incidentes tanto del sector público como del privado, y del territorio de la Unión Europea en su conjunto.

A día de hoy, pese a que solo el 12% de las compañías españolas cumplen los requisitos de esta norma, más del 80% de los directores de TI confían en que sus organizaciones los cumplirán cuando se aproxime la fecha de aplicación.

Al hilo de esto, Juan Francisco Moreda, responsable de /fsafe, la unidad de ciberseguridad de Fibratel, comentaba que  “es fundamental que los departamentos de TI, de ciberseguridad, gestión de riesgos y legal se coordinen para que en los tres meses que quedan, tengan todo preparado y no dejarlo todo para el final”.

Algunos aspectos básicos a tener en cuenta

La nueva directiva tiene implicaciones para aproximadamente 100.000 empresas, consideradas esenciales e importantes, de una gran variedad de sectores, que tendrán que implantar de forma proactiva una serie de medidas en materia de gestión y notificación de incidentes, protección de la cadena de suministro, intercambio de información y divulgación de vulnerabilidades, y programas de concienciación y formación, entre otras cuestiones.

Desde la propia Fibratel han publicado cinco aspectos a tener en cuenta para asegurar el cumplimiento de la directiva europea:

-    El ámbito de aplicación de esta normativa se ha ampliado, y afecta a organizaciones calificadas como esenciales (transportes, utilities, salud, banca, operadores de telecomunicaciones e Internet…) e importantes (servicios postales y de mensajería, plataformas soluciones, buscadores, alimentación, plantas químicas…).
-    Será necesario identificar y evaluar los riesgos, y establecer políticas y procedimientos que permitan mejorar la postura de ciberseguridad.
-    La norma exige que se tomen una serie de medidas de prevención, como la implementación de autenticación multifactor y controles de acceso a los sistemas y aplicaciones, sistemas de detección de amenazas, bloqueo y minimización del impacto de ciberataques, así como habilitar sistemas de continuidad de negocio.
-     Las incidencias importantes tendrán que notificarse en 24 horas y las menos relevantes en 72. Por tanto, deberán definirse planes efectivos de respuesta y procedimientos claros de notificación.
-     La ley exige políticas de formación en ciberseguridad para todos los empleados.