ISGroup Consultoría de Ciberseguridad

¿Cómo aborda la Directiva NIS2 la continuidad operativa y la gestión de crisis?

La Directiva NIS2 aborda la continuidad operativa y la gestión de crisis a través de una serie de requisitos destinados a fortalecer la postura de ciberseguridad de las entidades esenciales e importantes, promover la cooperación y establecer marcos para la gestión de incidentes y crisis. Si quieres entender mejor cuál es el objetivo principal de la Directiva NIS2, puedes profundizar en el artículo dedicado.

[Callforaction-NIS2]

Medidas de Continuidad Operativa

  • Artículo 21: Este artículo establece que las entidades esenciales e importantes deben implementar medidas técnicas, operativas y organizativas adecuadas para gestionar los riesgos informáticos de sus sistemas y servicios. Esto incluye medidas para “prevenir o minimizar el impacto de los incidentes” en sus operaciones y en los destinatarios de sus servicios.
  • Requisitos Específicos para la Continuidad Operativa: El Artículo 21, Párrafo 2, enumera explícitamente “operaciones de continuidad, como la gestión de copias de seguridad (backup) y la recuperación ante desastres (disaster recovery), y la gestión de crisis” como elementos clave de las medidas requeridas para la gestión del riesgo informático. Las organizaciones que deseen estructurar un plan de adecuación a la directiva NIS2 deben partir precisamente de estos requisitos operativos.
  • Enfoque en la Seguridad de la Cadena de Suministro: La Directiva reconoce la importancia de la seguridad de la cadena de suministro para garantizar la continuidad operativa.
    • El Artículo 21, Párrafo 2, incluye la “seguridad de la cadena de suministro” como un elemento necesario de la gestión del riesgo informático. Esto se refiere a aspectos relacionados con la seguridad de las relaciones entre las entidades y sus proveedores directos o prestadores de servicios.
    • El Artículo 22, Párrafo 1, confiere a los Estados miembros, en cooperación con la Comisión y la ENISA, la tarea de realizar evaluaciones coordinadas del riesgo de seguridad de las cadenas de suministro críticas. Abordar las vulnerabilidades y dependencias dentro de las cadenas de suministro críticas es esencial para garantizar la continuidad operativa, especialmente en caso de interrupciones.

Marco de Gestión de Crisis

  • Autoridades Nacionales de Gestión de Crisis: El Artículo 9, Párrafo 1, establece que cada Estado miembro debe designar o establecer una o más autoridades competentes para la gestión de incidentes informáticos y crisis de gran escala. Estas autoridades se denominan “autoridades de gestión de crisis de ciberseguridad“.
  • Planes Nacionales de Respuesta: Cada Estado miembro está obligado a adoptar un “plan nacional para la respuesta a incidentes y crisis informáticas de gran escala.” Este plan debe prever:
    • Objetivos y procedimientos para la gestión de incidentes y crisis informáticas.
    • Funciones y responsabilidades de las autoridades de gestión de crisis informáticas.
    • Integración de los procedimientos de gestión de crisis informáticas en el marco general de gestión de crisis nacionales.
    • Medidas de preparación nacional, incluyendo ejercicios y actividades de formación.
    • Identificación de las partes interesadas relevantes del sector público y privado.
    • Procedimientos y acuerdos para garantizar la participación eficaz del Estado miembro en la gestión coordinada de incidentes y crisis de gran escala a nivel de la UE.
  • EU-CyCLONe (Red de Organizaciones de Enlace para Crisis Cibernéticas Europeas): El Artículo 16 establece la EU-CyCLONe para apoyar la gestión coordinada de incidentes y crisis informáticas de gran escala a nivel operativo. Esta red:
    • Está compuesta por representantes de las autoridades de gestión de crisis informáticas de los Estados miembros. La Comisión también participa, ya sea como miembro de pleno derecho (si el incidente o la crisis afecta significativamente a los servicios regulados por la Directiva NIS2) o como observador.
    • Tiene como objetivo mejorar la preparación, desarrollar una conciencia situacional compartida, evaluar los impactos, coordinar la gestión de crisis y apoyar la toma de decisiones políticas durante incidentes y crisis informáticas de gran escala.
  • Cooperación e Intercambio de Información: La NIS2 pone énfasis en la cooperación y el intercambio de información entre Estados miembros, autoridades competentes y entidades relevantes para mejorar la gestión de crisis. Esto incluye disposiciones relativas a:
    • Grupo de Cooperación: El Artículo 14 establece un Grupo de Cooperación compuesto por representantes de cada Estado miembro para facilitar la cooperación estratégica y el intercambio de información en materia de ciberseguridad. Este grupo tiene la tarea de contribuir a las decisiones políticas, discutir las mejores prácticas y proporcionar orientación estratégica sobre la gestión de crisis.
    • Red CSIRT: El Artículo 15 establece una red de CSIRT compuesta por representantes de los CSIRT nacionales. Esta red se centra en la cooperación operativa, incluido el intercambio de información sobre incidentes, la discusión de respuestas coordinadas y la asistencia mutua durante incidentes informáticos. Para los sujetos NIS, es útil conocer también las obligaciones de designación del referente CSIRT previstas por la normativa italiana.

Formación y Sensibilización

  • Artículo 20, Párrafo 2: Este artículo, aunque se centra principalmente en la gestión del riesgo informático, requiere que los Estados miembros garanticen que los miembros de los órganos de dirección de las entidades esenciales e importantes reciban una formación adecuada. Además, alienta a estas entidades a ofrecer una formación similar a sus empleados para dotarlos de los conocimientos y competencias necesarios para identificar riesgos y evaluar las prácticas de gestión del riesgo informático. Aunque no se indica explícitamente, esta formación probablemente incluye aspectos de continuidad operativa y gestión de crisis.

Qué significa todo esto para las organizaciones sujetas a la NIS2

  • La NIS2 adopta un enfoque proactivo hacia la continuidad operativa imponiendo medidas de gestión del riesgo informático y destacando la importancia de la planificación de la continuidad.
  • La Directiva establece marcos integrales para la gestión de crisis tanto a nivel nacional como a nivel de la UE, con el objetivo de garantizar una respuesta coordinada y eficaz ante incidentes informáticos y crisis de gran escala.
  • El intercambio de información y la cooperación son fundamentales en el enfoque de la NIS2, reconociendo que las amenazas informáticas a menudo trascienden las fronteras nacionales y requieren esfuerzos conjuntos.

A través de estos requisitos, la NIS2 tiene como objetivo mejorar la resiliencia de las entidades esenciales e importantes y, por extensión, fortalecer la resiliencia del mercado interno y de la sociedad de la UE frente a amenazas informáticas en evolución. Para quienes deben verificar su posición respecto a las obligaciones de inscripción, es útil consultar también la información sobre ACN y el listado de sujetos NIS2.

Preguntas frecuentes sobre la continuidad operativa en la NIS2

  • ¿Qué medidas concretas debe adoptar una organización para cumplir con los requisitos de continuidad operativa de la NIS2?
  • El Artículo 21 requiere al menos un plan de copia de seguridad y recuperación ante desastres documentado, procedimientos de gestión de crisis y una evaluación periódica de los riesgos relacionados con la cadena de suministro. Las medidas deben ser proporcionales al tamaño y al perfil de riesgo de la organización.
  • ¿Quién es responsable de la gestión de crisis informáticas a nivel nacional en Italia?
  • En Italia, la Agencia para la Ciberseguridad Nacional (ACN) es la autoridad competente designada para la gestión de crisis de ciberseguridad conforme a la NIS2. ACN también coordina las relaciones con la red EU-CyCLONe a nivel europeo.
  • ¿La NIS2 obliga también a las organizaciones a formar a su personal en la gestión de crisis?
  • Sí. El Artículo 20 establece que los miembros de los órganos de dirección reciban una formación adecuada sobre la gestión del riesgo informático, y alienta a las organizaciones a extender programas formativos similares a todos los empleados involucrados en la seguridad operativa.

[Callforaction-NIS2-Footer]

In