ISGroup Consultoría de Ciberseguridad

Directiva NIS2: Cómo promueve la ciberseguridad

La Directiva NIS2 prevé diversas medidas para incrementar la concienciación sobre los riesgos de ciberseguridad y promover las mejores prácticas. Si quieres entender de dónde parte este planteamiento, puedes leer también cuál es el objetivo principal de la Directiva NIS2.

[Callforaction-NIS2]

Directiva NIS2: Las mejores prácticas

  • Estrategias nacionales de ciberseguridad: Los Estados miembros están obligados a adoptar estrategias nacionales de ciberseguridad que definan los objetivos estratégicos, las prioridades y los recursos necesarios para alcanzar un alto nivel de seguridad informática. Dichas estrategias deben cubrir sectores específicos, incluidos los enumerados en los Anexos I y II de la Directiva.
  • Planes de concienciación: Dentro de estas estrategias nacionales, los Estados miembros deben desarrollar planes con medidas específicas para aumentar la concienciación de los ciudadanos sobre la seguridad informática.
  • Actividades de educación, formación y concienciación: La Directiva anima a los Estados miembros a promover y desarrollar actividades de educación, formación y concienciación relacionadas con la ciberseguridad. Estas actividades deben estar dirigidas a ciudadanos, partes interesadas y entidades cubiertas por la Directiva, proporcionando indicaciones sobre las mejores prácticas y los controles de higiene informática.
  • Apoyo a las PYME: Reconociendo las necesidades específicas de las Pequeñas y Medianas Empresas (PYME), la Directiva enfatiza la importancia de proporcionarles orientaciones y apoyos accesibles para reforzar su resiliencia informática y mejorar la higiene cibernética.
  • Divulgación coordinada de vulnerabilidades: La Directiva NIS2 establece un marco para la divulgación coordinada de vulnerabilidades, facilitando la notificación y la resolución responsable de los fallos de seguridad en los productos y servicios TIC.
    • Este marco prevé la designación de un referente CSIRT en cada Estado miembro como coordinador para gestionar las notificaciones de vulnerabilidades y actuar como intermediario de confianza entre los notificadores y los proveedores.
    • Este proceso tiene como objetivo garantizar que las vulnerabilidades se aborden con prontitud, minimizando los riesgos para los usuarios.
  • Base de datos europea de vulnerabilidades: La ENISA, en consulta con el Grupo de Cooperación, creará y mantendrá una base de datos europea de vulnerabilidades que contenga información sobre las vulnerabilidades públicamente conocidas en los productos y servicios TIC.
    • Esta base de datos será accesible para todas las partes interesadas, promoviendo la transparencia y permitiendo a las organizaciones abordar proactivamente las brechas de seguridad.
  • Intercambio de información: La Directiva promueve el intercambio de información entre las entidades cubiertas por la Directiva, las autoridades competentes y los CSIRT, fomentando un enfoque colaborativo para abordar los riesgos de ciberseguridad. Esto incluye el intercambio de información sobre amenazas informáticas, incidentes, vulnerabilidades, mejores prácticas e iniciativas de concienciación.
  • Revisiones entre pares: La Directiva fomenta revisiones entre pares voluntarias entre los Estados miembros para evaluar y mejorar sus capacidades y políticas de ciberseguridad. Estas revisiones, realizadas por expertos en seguridad informática de otros Estados miembros, pueden ayudar a identificar áreas de mejora y promover las mejores prácticas.
  • Notificación de incidentes significativos: Las entidades cubiertas por la Directiva están obligadas a notificar los incidentes significativos de seguridad informática al CSIRT o a la autoridad competente designada.
    • Este requisito de notificación ayuda a garantizar que los incidentes se aborden de forma rápida y eficaz, y que se extraigan lecciones para el futuro.
    • Si es necesario, los CSIRT o las autoridades competentes pueden informar al público sobre incidentes significativos para aumentar la concienciación y mitigar los riesgos.
  • Informe bienal sobre ciberseguridad: La ENISA, en colaboración con la Comisión y el Grupo de Cooperación, publica un informe bienal sobre el estado de la seguridad informática en la UE.
    • Este informe evalúa el panorama de los riesgos de ciberseguridad, el desarrollo de capacidades, los niveles de concienciación y la madurez de los recursos de seguridad informática en la UE.
    • El informe se hace público y proporciona recomendaciones para mejorar la seguridad informática en la UE.

A través de estas medidas articuladas, la Directiva NIS2 tiene como objetivo promover una cultura de concienciación y responsabilidad en materia de ciberseguridad en toda la UE, animando a organizaciones e individuos a tomar medidas proactivas para mitigar los riesgos. Para las organizaciones que deben estructurar un camino concreto hacia la conformidad con la Directiva NIS2, es útil partir de una evaluación de las medidas ya implementadas y de las brechas que deben cubrirse. Puedes consultar también el documento oficial de la Directiva NIS2 para obtener el texto íntegro de referencia.

[Callforaction-NIS2-Footer]

In