ISGroup Consultoría de Ciberseguridad

Requisitos para garantizar la seguridad de los sistemas TIC durante todo el ciclo de vida, desde la adquisición hasta la eliminación

La directiva NIS2, aunque no describe explícitamente un enfoque estructurado para el ciclo de vida de los sistemas TIC desde su creación hasta su retirada, proporciona directrices y requisitos que cubren las fases principales relacionadas con la seguridad, desde la adquisición y el desarrollo hasta la gestión continua y la eliminación.

[Callforaction-NIS2]

Adquisición y desarrollo

  • Seguridad de la cadena de suministro: La directiva subraya la importancia de considerar los riesgos de ciberseguridad dentro de las cadenas de suministro.
    • Artículo 21, apartado 2, letra d): Exige a las entidades esenciales e importantes que implementen medidas de gestión de riesgos que incluyan la “seguridad de la cadena de suministro, incluidos los aspectos relativos a la seguridad de las relaciones entre cada entidad y sus proveedores o prestadores de servicios directos”.
    • Artículo 21, apartado 3: Especifica que, al evaluar la adecuación de las medidas de seguridad de la cadena de suministro, las entidades deben tener en cuenta “las vulnerabilidades específicas de cada proveedor o prestador de servicios directo y la calidad general de los productos y las prácticas de ciberseguridad de sus proveedores y prestadores de servicios, incluidos sus procedimientos de desarrollo seguro”.
    • Artículo 22: Permite la realización de evaluaciones coordinadas de los riesgos para la seguridad de las cadenas de suministro críticas a nivel de la UE, lo que podría influir en la selección y gestión de los proveedores TIC.
  • Prácticas de desarrollo seguro: La directiva destaca la importancia de considerar la seguridad durante el desarrollo de los sistemas TIC, incluso para aquellos desarrollados internamente.
    • Artículo 21, apartado 2, letra e): Enumera la “seguridad en la adquisición, el desarrollo y el mantenimiento de los sistemas de red y de información, incluida la gestión y divulgación de vulnerabilidades”, como un elemento clave de las medidas de gestión de riesgos de ciberseguridad exigidas.
    • Artículo 21, apartado 3: Como se indicó anteriormente, este apartado subraya la importancia de considerar los “procedimientos de desarrollo seguro” de los proveedores en la evaluación de los riesgos de la cadena de suministro.
  • Uso de productos y servicios certificados: Aunque no es obligatorio en todos los casos, la directiva NIS2 fomenta y, en algunas situaciones, puede exigir el uso de productos, servicios y procesos TIC certificados.
    • Artículo 24, apartado 1: Establece que los Estados miembros “podrán exigir” a las entidades esenciales e importantes que utilicen productos, servicios y procesos TIC certificados de acuerdo con los regímenes europeos de certificación de ciberseguridad establecidos por el Reglamento (UE) 2019/881.
    • Artículo 24, apartado 2: Confiere a la Comisión el poder de adoptar actos delegados para especificar qué categorías de entidades esenciales e importantes “están obligadas” a utilizar soluciones certificadas u obtener una certificación.

Gestión continua

  • Gestión de riesgos de ciberseguridad: El artículo 21 constituye la piedra angular del enfoque de la directiva NIS2 sobre la gestión continua de la seguridad TIC, imponiendo un enfoque basado en el riesgo. Para las organizaciones que deben estructurar o verificar su postura respecto a estas obligaciones, el camino de cumplimiento de la directiva NIS2 ofrece un soporte operativo desde el análisis de brechas hasta la implementación de las medidas requeridas.
    • Artículo 21, apartado 1: Exige a las entidades esenciales e importantes que implementen “medidas técnicas, operativas y organizativas adecuadas y proporcionadas para gestionar los riesgos que plantean para la seguridad de los sistemas de red y de información que dichas entidades utilizan en sus operaciones o para la prestación de sus servicios, con el fin de prevenir o minimizar el impacto de los incidentes en los destinatarios de sus servicios y en otros servicios”.
    • Artículo 21, apartado 2: Proporciona una lista detallada de 10 elementos clave que deben incluir estas medidas. Estos elementos cubren varios aspectos del ciclo de vida del sistema TIC, como el análisis de riesgos, la gestión de incidentes, la continuidad operativa, la seguridad de la cadena de suministro, la gestión de vulnerabilidades, el uso de la criptografía, la seguridad de los recursos humanos, el control de acceso y la gestión de activos.
  • Gestión de incidentes: La directiva NIS2 establece un proceso completo para la gestión de incidentes.
    • Artículo 23: Exige a las entidades esenciales e importantes que notifiquen los incidentes significativos a su CSIRT o a la autoridad nacional competente.
  • Gestión y divulgación de vulnerabilidades: La directiva reconoce la importancia de abordar las vulnerabilidades de forma proactiva.
    • Artículo 12: Establece un marco para la divulgación coordinada de vulnerabilidades, fomentando la notificación de las mismas a los fabricantes y proveedores de servicios y facilitando prácticas de divulgación responsables.
    • Artículo 12, apartado 2: Prevé la creación de una base de datos de la UE sobre vulnerabilidades gestionada por la ENISA. Esta base de datos sirve como repositorio central de las vulnerabilidades públicamente conocidas en los productos y servicios TIC.
  • Formación y concienciación: La directiva NIS2 reconoce la importancia del elemento humano en la ciberseguridad.
    • Artículo 20: Exige a los Estados miembros que garanticen que los miembros de los órganos de dirección de las entidades esenciales e importantes reciban formación para mejorar su comprensión de los riesgos y las prácticas de gestión de la ciberseguridad. La directiva también fomenta una formación similar para los empleados.

Eliminación

La directiva NIS2 no aborda explícitamente la eliminación segura de los sistemas TIC. Sin embargo, algunas disposiciones se refieren a la seguridad de los datos y la confidencialidad, aspectos que deben considerarse durante la retirada:

  • Consideraciones sobre la protección de datos: Aunque no se trata directamente en la NIS2, la eliminación de los sistemas TIC debe cumplir con las normativas pertinentes sobre protección de datos, como el RGPD. Esto incluye garantizar la eliminación o destrucción segura de los datos sensibles.
  • Requisitos de confidencialidad: El artículo 23, apartado 7, permite la divulgación pública de los incidentes, pero subraya que esto debe hacerse “en consulta con la entidad afectada” y teniendo en cuenta “la confidencialidad de la información facilitada”. Aunque se refiere a la notificación de incidentes, este principio de confidencialidad debe extenderse a los datos y la información presentes en los sistemas TIC durante su eliminación.

Cómo aplicar los requisitos de la NIS2 a lo largo de todo el ciclo de vida TIC

Aunque no es el foco principal de la directiva, la NIS2 aborda aspectos clave de la seguridad de los sistemas TIC a lo largo de todo el ciclo de vida. La directiva pone énfasis en:

  • Prácticas de adquisición y desarrollo seguras.
  • Gestión continua de riesgos, gestión de incidentes y de vulnerabilidades.
  • Importancia de la protección de datos y la confidencialidad, incluso durante la eliminación.

Las organizaciones deben interpretar e implementar los requisitos de la directiva considerando todo el ciclo de vida de los sistemas TIC. Para profundizar en cuál es el objetivo principal de la directiva NIS2 y cómo se traduce en obligaciones concretas, es útil partir del marco general antes de entrar en los detalles técnicos por cada fase.

Preguntas frecuentes

  • ¿La NIS2 obliga a seguir un procedimiento específico para la eliminación de los sistemas TIC?
  • No, la directiva NIS2 no regula explícitamente la eliminación. Sin embargo, las disposiciones sobre la confidencialidad de la información y la gestión de riesgos imponen indirectamente tratar la retirada con la misma atención que las demás fases del ciclo de vida. El RGPD sigue siendo la referencia principal para la eliminación segura de datos.
  • ¿La certificación de los productos TIC es obligatoria para todos los sujetos NIS2?
  • No de forma generalizada. El artículo 24 establece que los Estados miembros pueden exigir el uso de productos certificados según los regímenes europeos de certificación de ciberseguridad, y que la Comisión puede hacer obligatoria la certificación para categorías específicas de entidades. Hasta la adopción de dichos actos delegados, la certificación sigue siendo recomendada pero no impuesta universalmente.
  • ¿Cómo se evalúa la seguridad de los proveedores TIC según el artículo 21?
  • El artículo 21, apartado 3, exige considerar las vulnerabilidades específicas de cada proveedor, la calidad general de sus prácticas de ciberseguridad y los procedimientos de desarrollo seguro adoptados. En la práctica, esto se traduce en una evaluación del riesgo de la cadena de suministro que debe documentarse y actualizarse periódicamente.

[Callforaction-NIS2-Footer]

In