ISGroup Consultoría de Ciberseguridad

Frecuencia de las Evaluaciones de Riesgos de Ciberseguridad según la NIS2

Aunque las fuentes disponibles describen los elementos principales de la gestión de riesgos de ciberseguridad previstos por la directiva NIS2, incluida la necesidad de que las entidades realicen evaluaciones de riesgos, no se especifica explícitamente una frecuencia obligatoria para dichas evaluaciones.

Artículo 21, Apartado 1: Este artículo, que describe las medidas de gestión de riesgos de ciberseguridad, establece que las entidades esenciales e importantes deben adoptar medidas “adecuadas y proporcionadas” para gestionar los riesgos para sus sistemas de red y de información.
Énfasis en la gestión continua de riesgos: El lenguaje utilizado en el Artículo 21, con frases como “adecuadas y proporcionadas”, sugiere un enfoque continuo e iterativo de la gestión de riesgos en lugar de una planificación basada en un calendario fijo.

[Callforaction-NIS2]

Perspectivas de las disposiciones relacionadas y el contexto

Aunque la normativa no indica una frecuencia específica, diversas disposiciones y factores contextuales dentro de la NIS2 proporcionan indicaciones sobre la frecuencia con la que las entidades deberían realizar idealmente las evaluaciones de riesgos:

  1. Naturaleza dinámica de las ciberamenazas: La normativa destaca con frecuencia la rápida evolución del panorama de las amenazas informáticas. Dada la aparición continua de nuevas amenazas y vulnerabilidades, las entidades deben revisar regularmente su postura de seguridad, lo que implica que las evaluaciones de riesgos deben realizarse más de una vez.
  2. Cambios contextuales: El perfil de riesgo de una entidad puede verse influido por una amplia gama de cambios internos y externos, entre ellos:
    • Operaciones comerciales: La expansión a nuevos mercados, la adopción de nuevas tecnologías, los cambios en las cadenas de suministro o modificaciones significativas en los servicios existentes podrían requerir una reevaluación de los riesgos de seguridad.
    • Entorno normativo: Nuevas normativas, estándares del sector o directrices de las autoridades supervisoras podrían introducir requisitos adicionales de ciberseguridad, lo que determinaría la necesidad de actualizar las evaluaciones de riesgos.
    • Inteligencia sobre amenazas: La información sobre amenazas emergentes, vulnerabilidades específicas del sector o tecnologías utilizadas, o un aumento de las actividades dirigidas a organizaciones similares, deberían motivar una reevaluación de los riesgos.
  3. Énfasis en la proporcionalidad: La NIS2 subraya que las medidas de ciberseguridad, incluidas las evaluaciones de riesgos, deben ser “proporcionadas” al tamaño de la entidad, al perfil de riesgo y al impacto potencial de los incidentes. Las entidades de mayor tamaño que operan en sectores de alto riesgo con servicios críticos probablemente deban realizar evaluaciones de riesgos más frecuentes y exhaustivas que las entidades más pequeñas con perfiles de riesgo inferiores.
  4. Auditorías y revisiones periódicas: La NIS2 otorga a las autoridades competentes el poder de realizar auditorías regulares y específicas a las entidades esenciales e importantes. Dichas auditorías pueden incluir revisiones de las prácticas de gestión de riesgos de ciberseguridad y podrían identificar áreas en las que las evaluaciones de riesgos deban actualizarse o realizarse con mayor frecuencia.

Mejores prácticas y recomendaciones

En ausencia de una frecuencia específica establecida por la NIS2, es aconsejable adoptar las mejores prácticas de ciberseguridad y las recomendaciones de organizaciones de confianza. Aunque no son legalmente vinculantes bajo la NIS2, estos recursos suelen proporcionar indicaciones sobre la frecuencia de las evaluaciones de riesgos basadas en la experiencia del sector y en el panorama de amenazas en evolución.

Nota: Las recomendaciones aquí presentadas no derivan directamente de las fuentes que has proporcionado, sino que se basan en las mejores prácticas comunes de ciberseguridad. Te sugiero verificar esta información de forma independiente.

  • National Institute of Standards and Technology (NIST): El marco NIST, aunque no es específico para la NIS2, es un recurso ampliamente reconocido. Si bien no prescribe una frecuencia fija, subraya que las evaluaciones de riesgos deben realizarse “periódicamente” y cada vez que se produzcan cambios significativos.
  • ENISA (Agencia de la Unión Europea para la Ciberseguridad): La ENISA podría publicar directrices o recomendaciones sobre la frecuencia de las evaluaciones de riesgos en el contexto de la implementación de la NIS2. Consultar sus recursos podría proporcionar perspectivas adicionales.

Qué hacer concretamente

Aunque la NIS2 no establece una frecuencia específica para las evaluaciones de riesgos de ciberseguridad, el énfasis en un enfoque basado en riesgos, la naturaleza dinámica de las ciberamenazas y la necesidad de medidas proporcionadas sugieren claramente que estas evaluaciones deben realizarse de forma regular y no como un ejercicio ocasional. Factores como los cambios en las operaciones comerciales, el panorama de amenazas en evolución y los requisitos normativos deben considerarse para determinar la frecuencia adecuada. Para entender cómo estructurar este proceso dentro de su organización, puede ser útil consultar la página sobre el objetivo principal de la Directiva NIS2 o el texto oficial de la Directiva NIS2, y evaluar un plan de cumplimiento de la NIS2 que tenga en cuenta el perfil de riesgo específico de la organización.

[Callforaction-NIS2-Footer]

In