¿Qué significa NIS2?
La NIS2 es una directiva europea que entró en vigor el 17 de enero de 2023, con el objetivo de fortalecer la ciberseguridad en la Unión Europea.
NIS2 es la abreviatura con la que se conoce la nueva directiva europea sobre ciberseguridad, cuyo nombre oficial es Directiva sobre medidas para un nivel común elevado de ciberseguridad en toda la Unión.
NIS es el acrónimo de «Network and Information Systems» (Sistemas de Redes e Información), ya que esta normativa incluye medidas destinadas a aumentar el nivel de seguridad de las redes y los sistemas informativos de los Estados miembros de la Unión Europea.
La directiva NIS2 actualiza la anterior NIS1, aprobada por la UE en 2016 (Directiva UE 2016/1148)
¿Por qué la UE aprobó una nueva directiva NIS?
La nueva directiva europea sobre ciberseguridad, NIS2, se hizo necesaria para abordar las limitaciones de la NIS1. Estas limitaciones se manifestaron prácticamente desde su introducción, debido a un aumento generalizado en el nivel de digitalización en todos los Estados miembros, lo que amplió la llamada superficie de ataque cibernético.
Este indicador refleja relaciones directas muy simples, pero importantes: cuanto más amplia es la superficie de ataque, mayor es el riesgo de que los ataques tengan éxito, lo que a su vez aumenta los daños potenciales. Por ello, es necesario elevar el nivel de protección de los sistemas.
El proceso de obsolescencia de la directiva NIS1 se vio además acentuado por la pandemia de COVID-19, que impulsó inesperadamente la adopción de sistemas y tecnologías digitales, sin que, sin embargo, hubiera un avance proporcional en las medidas y sistemas de seguridad implementados.
Directiva NIS2, ¿quién debe cumplirla?
Para determinar qué empresas deben cumplir con las obligaciones previstas, la directiva NIS2 establece tres criterios: sector al que pertenecen, tamaño y el rol que desempeñan en su sector.
Los sectores a los que se aplica la NIS2 se dividen en sectores de alta criticidad y sectores críticos:
- Sectores de alta criticidad: Energía, Transporte, Sector bancario, Infraestructuras de los mercados financieros, Sector sanitario, Agua potable, Aguas residuales, Infraestructuras digitales, Proveedores de servicios de telecomunicaciones B2B, Administración pública, Sector espacial.
- Otros sectores críticos: Servicios postales y de mensajería, Gestión de residuos, Fabricación, producción y distribución de productos químicos, Producción, transformación y distribución de alimentos, Fabricación (en seis subsectores: dispositivos médicos y diagnósticos in vitro; computadoras y productos electrónicos y ópticos; equipos eléctricos; maquinaria y equipos no clasificados; vehículos, remolques y semirremolques; otros medios de transporte), Proveedores de servicios digitales, Investigación.
Dentro de estos sectores, la directiva NIS2 se aplica a entidades públicas o privadas de tamaño medio o grande.
Independientemente de su tamaño, la NIS2 también se aplica a las entidades consideradas críticas para los sectores mencionados, a los proveedores de servicios de registro de dominios y a las administraciones públicas centrales y regionales.
NIS 2, cuándo no se aplica y cuándo deciden los Estados.
Para algunas categorías de entidades, la NIS2 no se aplica o la decisión de someterlas o no a la directiva queda a discreción de cada Estado miembro.
La NIS2 no se aplica a: Administraciones públicas encargadas de seguridad nacional, seguridad pública, defensa y lucha contra delitos;
Entidades del sector judicial; Parlamentos; Bancos centrales.
La directiva NIS2 se aplica a discreción de cada Estado miembro en el caso de administraciones públicas locales y centros educativos con funciones de investigación. Además de estos casos, los Estados miembros pueden excluir de la directiva a otras entidades.
¿Qué prevé la directiva NIS2?
La directiva NIS2 establece normas mínimas que todos los Estados miembros deben cumplir para lograr una mayor armonización a nivel de la UE en cuanto a legislaciones y procedimientos de ciberseguridad. Sin embargo, los Estados miembros son libres de aprobar normas nacionales más estrictas, decidiendo elevar aún más su nivel de ciberseguridad nacional.
Con la directiva NIS2 también se prevén mecanismos de cooperación entre las autoridades nacionales de ciberseguridad y se introduce una red europea para crisis informáticas (EU-CyCLONe), que establece la gestión coordinada de incidentes y crisis de ciberseguridad.
Todos los Estados y las empresas involucradas tienen la obligación de compartir información importante para la ciberseguridad.
La directiva también prevé una serie de acciones para elevar el nivel de ciberseguridad en el mercado europeo, divididas entre acciones que deben llevar a cabo los Estados miembros y acciones dirigidas a las empresas.
Los Estados miembros deben adoptar estrategias nacionales de ciberseguridad, crear autoridades nacionales de ciberseguridad, autoridades para la gestión de crisis informáticas, puntos de contacto únicos en materia de seguridad y equipos de respuesta ante incidentes de seguridad informática (los llamados CSIRT); cumplir con los requisitos de supervisión y ejecución.
Las empresas deben cumplir con las obligaciones de gestión de riesgos de ciberseguridad y de notificación. Entre los requisitos que las empresas deben cumplir según la directiva NIS2 se encuentra el uso de soluciones de autenticación multifactor o de autenticación continua.
SafeAccess, la autenticación multifactor de Namirial para cumplir con la NIS2
Para las empresas privadas y las administraciones públicas, la gestión de identidades es uno de los aspectos fundamentales para cumplir con los nuevos requisitos establecidos por la NIS2. En particular, la directiva NIS2 impone el uso de autenticación multifactor para el acceso de empleados y usuarios a los sistemas informáticos empresariales.
Para este requisito específico, Namirial ofrece una solución a través de SafeAccess, una suite que garantiza el cumplimiento total. Al implementar SafeAccess, es posible proteger la organización con un mecanismo que asegura el acceso seguro de los empleados a todos los sistemas de la empresa (estaciones de trabajo, servidores y aplicaciones individuales) y de los usuarios a sus aplicaciones mediante soluciones en la nube.
