NAKIVO > Blog > Multiplatform

Guía detallada de la Directiva NIS 2: Mejora de las normas de ciberseguridad de la UE

Actualizado: diciembre 16, 2024

Escrito por: Equipo NAKIVO

En 2022, según la Agencia de Ciberseguridad de la Unión Europea, el coste medio de un incidente informático fue de 200.000 euros en la UE. Con un aumento anual del 150% en el número de ciberamenazas y aproximadamente 280 ataques de ransomware al mes, se espera que estos costes sigan aumentando. El panorama de las ciberamenazas, en constante evolución, exige a las organizaciones de la UE una mayor resiliencia y una mejor concienciación sobre los riesgos, lo que ha dado lugar a la nueva ley de ciberseguridad de la UE: la Directiva NIS2.

Este artículo trata de los requisitos de la Directiva NIS2 y su impacto en el panorama digital de la UE. También exploraremos cómo la solución de NAKIVO puede ayudarle a proteger sus datos en un entorno conforme a NIS2.

Ensure Availability with NAKIVO

Ensure Availability with NAKIVO

Meet strict requirements for service availability in virtual infrastructures. Achieve uptime objectives with robust DR orchestration and automation features.

DISCOVER SOLUTION

¿Qué es NIS2?

NIS2 es una Directiva de la UE sobre seguridad de las redes y de la información nº 2022/2555 que se publicó oficialmente en diciembre de 2022 y entró en vigor a principios de 2023. NIS2 pretende normalizar y mejorar la ciberseguridad en toda la UE. La Directiva sustituye a la anterior Directiva NIS1, que entró en vigor en 2016.

A diferencia de la normativa de aplicación directa, como la Ley de Resiliencia Operativa Digital (DORA), que sigue siendo la misma en todos los Estados miembros de la UE, las directivas deben ser adaptadas a la legislación nacional por cada Estado individualmente. Los Estados miembros tienen de plazo hasta octubre de 2024 para adoptar y publicar todas las medidas necesarias para el cumplimiento de la NIS2. Después de esa fecha, las organizaciones estarán legalmente obligadas a cumplirla.

Objetivos de la Directiva NIS2

La Directiva NIS2 pretende mejorar las normas actuales de ciberseguridad y establecer una nueva referencia para la resiliencia de las organizaciones de la UE frente a las amenazas digitales.

La Directiva se centra en cuatro aspectos principales:

  • Refuerzo de la seguridad digital mediante nuevos requisitos de gestión de riesgos, responsabilidad empresarial y continuidad de la actividad.
  • Reducir las incoherencias en materia de ciberseguridad en toda la UE , de modo que se amplíe el ámbito de aplicación de la Directiva y se incluyan más sectores.
  • Fomentar el conocimiento de la situación y la colaboración nacional y transfronteriza para hacer frente con eficacia a los ciberincidentes existentes y a las nuevas amenazas.
  • Introducir obligaciones normalizadas de información durante los incidentes para mejorar la transparencia y facilitar una respuesta coordinada.

Principales diferencias entre la Directiva NIS original y NIS 2

Aunque la NIS1 pretendía mejorar la ciberseguridad y la resiliencia de la Unión Europea, la rápida digitalización y la evolución de las amenazas durante la pandemia y después de ella pusieron de manifiesto sus deficiencias, en particular la falta de requisitos específicos y la aplicación desigual en toda la UE.

La propuesta de actualización de la Directiva SRI se publicó por primera vez en 2020 y en ella se subrayaba la necesidad de ampliar su ámbito de aplicación, elevar las normas de ciberseguridad, establecer nuevos requisitos y adoptar un enfoque más unificado.

En comparación con la NIS1, la nueva directiva:

  • amplía significativamente el ámbito inicial añadiendo más sectores e introduciendo una nueva clasificación basada en el rol de la organización en la economía digital de un país.
  • introduce requisitos más estrictos de seguridad y gestión de riesgos con una lista de medidas mínimas de seguridad que deben aplicarse.
  • aplica la planificación de la continuidad de la actividad en caso de incidentes cibernéticos significativos
  • exige una notificación de incidentes más estricta
  • establece multas por incumplimiento y medidas coercitivas más estrictas
  • aplica la supervisión reglamentaria, incluidas las inspecciones in situ y externas, las auditorías ad hoc y las exploraciones de seguridad.
  • responsabiliza a la dirección del incumplimiento y permite a las autoridades solicitar la suspensión de empleo
  • destaca la seguridad de la cadena de suministro como un aspecto crítico de la ciberseguridad general.

Ampliación del ámbito de aplicación de la normativa de ciberseguridad de la UE

La NIS2 duplica con creces el alcance de la NIS inicial. También sustituye la anterior distinción entre «operadores de servicios esenciales» y «proveedores de servicios digitales» por las categorías Esencial e Importante, basadas en el tamaño de la organización y los umbrales de ingresos.

A diferencia del RGPD, la NIS2 establece unos criterios más estrictos para las organizaciones que entran en su ámbito de aplicación, ya que la Directiva solo se aplicará a aquellas que presten servicios o realicen actividades en la UE. Por ejemplo, si una empresa internacional tiene una filial en la UE, sólo la filial entra en el ámbito del NIS2. Sin embargo, hay una trampa. Debido a una diligencia más exigente en la cadena de suministro, las empresas de fuera de la UE aún pueden verse afectadas.

Sectores y entidades sujetos a la Directiva

El ámbito de aplicación de la NIS2 está cubierto por el Anexo I (sectores altamente críticos que pueden clasificarse como Esenciales o Importantes) y el Anexo II (Importantes).

El ámbito de aplicación de NIS1 ya incluía la mayoría de los sectores especificados en el anexo I, como:

  • Energía
  • Transportes
  • Salud
  • Agua potable
  • Infraestructuras de los mercados financieros
  • Banca
  • Infraestructura digital

Los nuevos sectores que se han añadido al ámbito de aplicación de la Directiva NIS2 en el anexo I son los siguientes:

  • Espacio
  • Aguas residuales
  • Gestión de servicios de tecnologías de la información y la comunicación (TIC)
  • Administración pública

En función del tipo de organización, su tamaño y sus ingresos, las organizaciones incluidas en el Anexo I pueden clasificarse como:

  • Esencial, si sus perturbaciones pueden acarrear graves consecuencias para el país:
    • grandes empresas con más de 250 empleados o más de 50 millones de euros de ingresos anuales
    • Administraciones públicas de los gobiernos centrales
    • Operadores de servicios esenciales
    • Otras empresas seleccionadas por un Estado miembro
  • Importante:
    • Empresas con más de 50 empleados o más de 10 millones de euros de ingresos anuales
    • Otras empresas seleccionadas por un Estado miembro

Se aplican los mismos requisitos de seguridad a ambas categorías. Sin embargo, el grupo Esencial se somete a una supervisión proactiva, mientras que el grupo Importante sólo se supervisa cuando se notifica un incidente de incumplimiento. En el caso de las organizaciones esenciales, las autoridades pueden imponer multas más elevadas por incumplimiento e incluso prohibir temporalmente las funciones directivas.

El anexo II añade más sectores, todos ellos incluidos en la categoría Importante:

  • Servicios postales y de mensajería
  • Alimentación
  • Productos químicos
  • Fabricantes
  • Proveedores digitales
  • Gestión de residuos
  • Investigación
  • Servicios de registro de nombres de dominio

La Directiva faculta a los Estados miembros para establecer listas nacionales de organizaciones Importantes y Esenciales, independientemente de los umbrales de ingresos y tamaño, si su impacto en la economía nacional es crítico, o si la empresa es el único proveedor de determinados servicios. Se espera que cada Estado miembro establezca una lista de este tipo de aquí a abril de 2025.

Obligaciones de las pequeñas y medianas empresas (PYME)

La mayoría de las medianas empresas con 50 o más empleados y un volumen de negocio anual de 10 millones de euros se consideran Importantes o Esenciales según el sector.

Las empresas más pequeñas quedan fuera del ámbito de aplicación, a menos que estén incluidas en la lista nacional de entidades Esenciales e Importantes o pertenezcan a estos sectores:

  • Infraestructura digital
    • Proveedores de servicios DNS
    • Confiar en los proveedores de servicios
    • Registros de nombres TLD
    • Proveedores de redes públicas de comunicaciones electrónicas y servicios de comunicación disponibles al público
  • Entidades de la administración pública

Aunque su cumplimiento puede exigir inversiones adicionales, los principios de adecuación y proporcionalidad de la NIS2 de la UE ayudan a las PYME a aplicar medidas de ciberseguridad a pesar de sus limitados recursos. Por ejemplo, las PYME pueden centrarse en la gestión de riesgos y la concienciación sobre ciberseguridad impartiendo formación periódica al personal.

Analicemos las medidas de seguridad con más detalle a continuación.

Gestión de riesgos de ciberseguridad en el marco
de la NIS 2

Gestión de riesgos y políticas de seguridad

Dado que el panorama digital cambia más deprisa de lo que pueden hacerlo las leyes, la Directiva NIS2 impone un planteamiento de «vanguardia», que exige a las organizaciones adoptar medidas de seguridad adecuadas, proporcionadas y económicas en función de sus necesidades y capacidades específicas. Al evaluar la idoneidad de las medidas de seguridad, las organizaciones deben tener en cuenta la exposición a los riesgos, el tamaño de la organización, la probabilidad y gravedad de los incidentes de seguridad y los costes de aplicación.

Las organizaciones deben aplicar las medidas más recientes y eficaces disponibles en cada momento para prevenir o minimizar los incidentes informáticos y su impacto en sus operaciones. Sin embargo, la Directiva no obliga a las organizaciones a garantizar la ciberseguridad a toda costa y hace hincapié en la importancia de una evaluación continua de los riesgos y la seguridad para mantenerse «a la última».

Los requisitos de ciberseguridad de la NIS2 se centran en el enfoque basado en el riesgo («todos los peligros») (artículo 21) y animan a las organizaciones a evaluar periódicamente los riesgos a los que están expuestas mediante exploraciones de seguridad, análisis de riesgos, pruebas periódicas de penetración, parches y gestión de activos.

Además, la Directiva establece diez medidas básicas de seguridad obligatorias para todos:

  1. Políticas de evaluación de riesgos y seguridad de la información
  2. Gestión de incidentes (prevención, detección y respuesta)
  3. Plan de continuidad de la actividad con backups y planes de recuperación ante desastres, procedimientos de emergencia, gestión de crisis y un equipo de respuesta a crisis establecido.
  4. Seguridad de la cadena de suministro, análisis de riesgos de proveedores directos y proveedores de servicios, plan para mitigar las vulnerabilidades de los proveedores y otros aspectos relacionados con la seguridad en las relaciones entre la organización y sus proveedores directos y proveedores de servicios.
  5. Formación en ciberseguridad y ciberhigiene
  6. Evaluación de la eficacia de las medidas de seguridad aplicadas
  7. Políticas y procedimientos de criptografía y cifrado
  8. Uso de autenticación multifactor o continua, comunicación segura con cifrado de voz, vídeo y texto.
  9. Políticas y procedimientos de seguridad del personal, acceso a datos y gestión de activos.
  10. Seguridad de redes y sistemas de información, incluidos aprovisionamiento, desarrollo y mantenimiento.

Junto a estas medidas, la NIS2 de la UE también fomenta la cooperación y el intercambio de información para facilitar el conocimiento mutuo y la colaboración a la hora de hacer frente a las nuevas amenazas digitales y mejorar la resiliencia general de la UE frente a los ciberataques.

Seguridad de la cadena de suministro

Dado que la anterior Directiva NIS no se centraba en la seguridad de la cadena de suministro, la nueva NIS2 viene a llenar ese vacío. El preámbulo 85 subraya la importancia de la seguridad de la cadena de suministro debido a la prevalencia de ciberataques en los que actores malintencionados utilizan vulnerabilidades de herramientas y servicios de terceros para comprometer la seguridad de las redes y los sistemas de información de la organización.

La Directiva exige a las organizaciones que evalúen la resiliencia, la calidad y las prácticas de ciberseguridad de sus proveedores y prestadores de servicios y que incorporen medidas adecuadas de gestión de riesgos en los acuerdos contractuales. Preámbulo 86 se centra específicamente en la respuesta a incidentes, las pruebas de penetración, las auditorías de seguridad y la consultoría.

Esto supone una carga adicional para los proveedores y prestadores de servicios, incluidos los proveedores de servicios gestionados y de servicios de seguridad, que trabajan con organizaciones de destino de NIS2. Se espera que los proveedores mejoren su seguridad digital y su resiliencia operativa, aunque estén fuera del ámbito de aplicación de NIS2.

Requisitos reforzados para la notificación de ciberincidentes

La nueva Directiva impone la notificación y comunicación de incidentes con plazos específicos en caso de incidente significativo o ciberataque. Por «significativas», la NIS2 (artículo 23) considera aquellas que pueden causar graves perturbaciones operativas o pérdidas financieras para la organización o dar lugar a daños materiales o inmateriales significativos para cualesquiera otras partes.

  • En un plazo de 24h. Las organizaciones deben notificar el incidente a las autoridades competentes o al Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT) y especificar si se trata de un ciberataque o podría tener repercusiones transfronterizas.
  • En un plazo de 72 horas. Las organizaciones deben proporcionar la evaluación inicial de la gravedad y el impacto del incidente.
  • Previa solicitud. Las autoridades competentes y el CSIRT pueden solicitar a las organizaciones que faciliten un informe intermedio sobre la actualización del estado.
  • En el plazo de 1 mes después de la notificación del incidente. El informe final debe contener una descripción detallada del incidente, una evaluación de su impacto, la causa raíz que lo provocó y las medidas paliativas aplicadas. Cuando el incidente dura más de un mes, se espera que la organización presente un informe de situación y el informe final cuando el incidente haya terminado.

Junto con la notificación de incidentes, las organizaciones también tienen que notificar a los destinatarios del servicio sobre el incidente y las posibles medidas que dichos destinatarios pueden tomar para mitigar las consecuencias del incidente.

Retos y oportunidades del cumplimiento de la Directiva NIS 2

Ventajas del cumplimiento

El cumplimiento de la normativa NIS2 de la UE puede ayudar a las organizaciones a reforzar la ciberseguridad y mejorar la resiliencia operativa frente a las interrupciones. Esto redunda en una mejor reputación y transparencia de la organización, por lo que el cumplimiento puede ofrecer ventajas competitivas.

Otro beneficio aparente del cumplimiento de la NIS2 es la evitación de multas por incumplimiento. La Directiva impone las siguientes sanciones:

  • Organizaciones esenciales: al menos 10 millones de euros o hasta el 2% del volumen de negocios total anual en todo el mundo, si esta cifra es superior.
  • Organizaciones importantes: al menos 7 millones de euros o hasta el 1,4% del volumen de negocios total anual a escala mundial, si esta cifra es superior.

Otras medidas de aplicación son las advertencias, la suspensión de las operaciones, la suspensión de la certificación o autorización de la organización y la suspensión de las personas con responsabilidades directivas.

Retos y consideraciones

El mayor reto de NIS2 es que entra en juego cuando las organizaciones se enfrentan a amenazas digitales más sofisticadas y complejas, lo que significa que ahora se necesitan estrategias más sofisticadas y complejas para hacerles frente. Por este motivo, la Directiva NIS2 amplía considerablemente las responsabilidades de las organizaciones en materia de ciberseguridad e introduce medidas más rigurosas.

Las nuevas medidas de ciberseguridad exigirán que las organizaciones inviertan en tecnología y conocimientos especializados, lo que puede suponer una carga para las organizaciones más pequeñas. Según el Informe de Evaluación de Impacto de la Comisión Europea, en los tres años siguientes, las organizaciones necesitarán un 22% más de inversiones en seguridad de la información si no estaban afectadas por NIS1 y un 12% más de inversiones si ya cumplen con NIS1.

Otro reto es el importante riesgo de incumplimiento, que tiene elevadas consecuencias financieras para las organizaciones. Las entidades esenciales se enfrentarán a auditorías de seguridad tanto periódicas como ad hoc ex ante como medida preventiva.

El impacto de la Directiva NIS 2 en el mercado digital de la UE

La Directiva NIS2 se convierte en el principal motor para reforzar y armonizar el nivel de ciberseguridad en toda la UE. Sin embargo, dado que la Directiva debe transponerse a las legislaciones nacionales, las normas y requisitos de ciberseguridad variarán en función del país.

NIS2 establece un nivel más alto de ciberseguridad y contribuye a mejorar la resiliencia operativa de todos los sectores frente a las amenazas digitales. Para el sector de la ciberseguridad, la Directiva abre un nuevo mercado de soluciones diseñadas para ayudar a las organizaciones a cumplir la NIS2.

Cabe mencionar que el sector financiero de la UE está protegido además por la Ley de Resiliencia Operativa Digital (DORA). La Ley impone requisitos inalterados a todos los países de la UE como normativa sectorial. Sus requisitos prevalecen sobre los de la NIS2, pero no la sustituyen ni compiten con ella. Así pues, las entidades financieras están obligadas a cumplir tanto la DORA como la NIS2.

Preparación para el cumplimiento de NIS 2

Primeramente, determine si su organización entra en el ámbito de aplicación de NIS2 o si presta servicios gestionados u otros servicios a organizaciones reguladas por NIS2. También debe determinar la legislación de qué Estado miembro se aplica a su organización para conocer los requisitos exactos a los que debe ajustarse.

Realización de un análisis de carencias

Obtenga información sobre la ciberseguridad de su organización y la exposición al riesgo realizando un análisis de deficiencias. Antes de que se establezcan los requisitos exactos de NIS2 en su país, puede utilizar normas internacionales como la IEC 62443 y el Modelo de Madurez de Capacidades de Ciberseguridad (C2M2) y los requisitos de ciberseguridad de software y hardware de la Ley de Ciberresiliencia (CRA) de la UE como referencia para su evaluación.

NIS2 está estructurado en torno a tres categorías principales, así que téngalas en cuenta en primer lugar a la hora de realizar un análisis de carencias:

  • Gobernanza (artículo 20). NIS2 hace especial hincapié en la responsabilidad de la gestión en materia de cumplimiento y ciberseguridad en general, lo que puede requerir la revisión de la cultura de trabajo y la adopción de cambios de comportamiento en su organización.
  • Medidas de gestión de los riesgos de ciberseguridad (artículo 21). La NIS2 exige a las organizaciones que evalúen y se preparen para todos los peligros posibles aplicando medidas técnicas, operativas y organizativas adecuadas y proporcionadas.

    La Directiva esboza diez medidas mínimas, entre ellas un plan de respuesta a incidentes, evaluación de riesgos, seguridad de la cadena de suministro, evaluación de la eficacia de las medidas de ciberseguridad, comunicación segura y formación periódica del personal.

  • Presentación de informes (artículo 23). Garantizar que los informes posteriores a los incidentes sean transparentes y puntuales para ajustarse a los requisitos de la NIS2.
  • Certificación de ciberseguridad de la UE (artículo 24). Según la NIS2, los Estados miembros pueden exigir a las organizaciones que utilicen servicios y productos tecnológicos certificados por la UE.

Complemente su estrategia de ciberseguridad con NAKIVO

NAKIVO Backup & Replication es una solución robusta para hacer backups y recuperación ante desastres. Sus funciones avanzadas y características de ciberseguridad pueden ayudar a las organizaciones a proteger sus datos sin dejar de cumplir la NIS 2.

Estos son algunos aspectos de la solución NAKIVO que se corresponden con las medidas básicas de NIS2 para ayudarle a implantar una estrategia de protección de datos ciberresiliente.

Seguridad de las TIC y protección de datos

  • Resiliencia de los datos. Con la solución NAKIVO, puede proteger todas sus cargas de trabajo en máquinas virtuales y físicas, en la nube, datos en archivos compartidos y aplicaciones de Microsoft 365 a través de un panel centralizado basado en web. Cumpla fácilmente la regla de oro de los backups y almacene copias de datos en múltiples ubicaciones locales y externas (incluidos dispositivos NAS y de deduplicación, unidades USB y cintas), en la nube pública o en plataformas en la nube compatibles con S3.
  • Integridad de los datos. La solución es compatible con el modo App-aware y permite hacer backups coherentes de las cargas de trabajo que ejecutan aplicaciones y bases de datos, incluidas las aplicaciones locales de Microsoft, como Active Directory y Exchange Server, así como Oracle DB. La compatibilidad con las aplicaciones y servicios de Microsoft 365 te permite hacer backup fácilmente de los buzones de Exchange Online, los mensajes de Teams, los sitios de SharePoint Online y los datos de OneDrive para la Empresa.
  • Protección contra ciberamenazas como el ransomware. Con la solución de NAKIVO, puede seguir las prácticas recomendadas de ciberseguridad para mitigar el riesgo de un ciberataque exitoso. Puede hacer que sus backups sean inmutables en la nube, carpetas locales o dispositivos HYDRAstor para asegurarse de que nadie pueda eliminar o cambiar los datos dentro del periodo especificado. También puede enviar copias de backups a un almacenamiento desconectado y desmontable, como una cinta, para hacer air gapping y evitar que los ciberdelincuentes accedan a los datos a través de la red.
  • Cifrado. Protege tus datos de backups activando el cifrado AES256 bits. La solución de NAKIVO es compatible con el cifrado en origen, lo que significa que sus datos están protegidos en tránsito y en reposo.
  • Control de acceso. Configure el control de accesos basado en roles a la solución, siguiendo el principio del mínimo privilegio.
  • Autentificación. Active la autenticación multifactor al acceder a los datos de backups y a las actividades de protección de datos. La solución de NAKIVO también es compatible con cuentas de Microsoft 365 habilitadas para MFA, por lo que no tendrá que comprometer la seguridad dentro de la infraestructura de Microsoft 365.

Detección, tratamiento y respuesta a incidentes

  • Continuidad de las actividades. La solución ofrece backup, replicación, replicación en tiempo real, así como 12 opciones de recuperación diferentes para garantizar que pueda restaurar los datos en cualquier escenario. Verifique al instante que los backups y las réplicas de las máquinas virtuales se pueden recuperar y analice los backups en busca de malware para garantizar una recuperación segura y sin problemas.
  • Recuperación ante desastres. En caso de desastre, basta 1 clic para activar la secuencia y conmutar por error a una réplica situada en el sitio secundario. La función de restauración del entorno le permite crear flujos de trabajo automatizados para conmutar por error y volver en cuestión de segundos, al tiempo que se alcanzan todos los objetivos de recuperación.
  • Supervisión en tiempo real. Con la supervisión del entorno de VMware, puede detectar a tiempo consumos inusuales y sospechosos de CPU, RAM y espacio en disco, antes de que se conviertan en un problema mayor.

Evaluación de la eficacia de las medidas de seguridad

  • Probar la recuperación ante desastres. La solución NAKIVO le permite ejecutar pruebas de recuperación no disruptivas para garantizar que su plan de recuperación ante desastres funciona y que se cumplen los objetivos de recuperación. Durante las pruebas, puede comprobar las redes y asegurarse de que el mapeo de la red y los ajustes de Reasignación de IP son correctos. También puede verificar si las secuencias de recuperación ante desastres son eficaces o necesitan cambios. Las pruebas no afectan a su entorno de producción y pueden ejecutarse según lo programado.

See the Solution in Action

See the Solution in Action

Get a personalized demo of any feature to get started in no time. Our engineers are here to help and answer any questions you may have.

Book a Free Demo

Artículos recomendados

Picture
¿Qué es el backup y la replicación de máquinas virtuales en VMware?
Picture
¿Qué es el almacenamiento inmutable de datos para backups?
Picture
¿Qué es el backup de nube y cómo funciona?