La Directiva NIS2 exige que las entidades implementen políticas de gestión de riesgos de ciberseguridad sólidas y estructuradas. En el centro de estas políticas se encuentran diez elementos clave de seguridad que constituyen la columna vertebral de la postura de ciberseguridad de una organización. Para las organizaciones que deben verificar su nivel de cumplimiento, un camino estructurado de adecuación a la NIS2 ayuda a traducir estos requisitos en medidas concretas y verificables.

[Callforaction-NIS2]

Estos elementos, descritos en las fuentes, son:

1. Gestión de Incidentes: Abarca todo el ciclo de vida de la gestión de incidentes de ciberseguridad, desde la preparación y prevención hasta la detección, análisis, contención, erradicación, recuperación y aprendizaje post-incidente.
2. Seguridad de la Cadena de Suministro: Las entidades deben abordar de forma proactiva los riesgos de ciberseguridad dentro de sus cadenas de suministro. Esto incluye evaluar la postura de seguridad de los proveedores, establecer requisitos de seguridad claros para las relaciones con terceros e implementar mecanismos para monitorear y gestionar los riesgos asociados a proveedores y prestadores de servicios.
3. Gestión y Divulgación de Vulnerabilidades: Es esencial un enfoque sistemático para identificar, evaluar, priorizar, resolver y divulgar las vulnerabilidades. Esto incluye el establecimiento de procesos para recibir notificaciones de vulnerabilidades, evaluar su gravedad, implementar parches o medidas de mitigación de manera oportuna y divulgar las vulnerabilidades de forma responsable a las partes interesadas.
4. Uso de Técnicas de Criptografía y Cifrado: El empleo de técnicas criptográficas y tecnologías de cifrado es fundamental para proteger la confidencialidad, la integridad y la autenticidad de los datos. Las entidades deben implementar soluciones de cifrado adecuadas para los datos en reposo, en tránsito y, si es necesario, en uso.
5. Políticas para el Análisis de Riesgos y la Seguridad de los Sistemas de Información: Las entidades deben establecer y documentar políticas claras para analizar los riesgos de ciberseguridad y definir medidas de seguridad para sus sistemas de información. Esto implica evaluaciones periódicas de riesgos, la identificación de activos y su criticidad, y el desarrollo de planes integrales de gestión de riesgos.
6. Gestión de la Continuidad Operativa, Incluyendo Copias de Seguridad, Recuperación ante Desastres y Gestión de Crisis: Las organizaciones deben contar con planes para garantizar la continuidad operativa en caso de interrupciones o desastres. Esto incluye la implementación de mecanismos sólidos de copia de seguridad y recuperación ante desastres, el desarrollo de planes de gestión de crisis y la verificación periódica de estos procedimientos para asegurar su eficacia.
7. Seguridad en la Adquisición, Desarrollo y Mantenimiento de Redes y Sistemas de Información: Las consideraciones de seguridad deben integrarse durante todo el ciclo de vida de las redes y los sistemas de información. Esto incluye prácticas de desarrollo seguro, pruebas de seguridad, configuración segura, gestión de vulnerabilidades y eliminación segura de sistemas al final de su ciclo de vida.
8. Estrategias y Procedimientos para Evaluar la Eficacia de la Gestión del Riesgo Cibernético: Las evaluaciones y revisiones periódicas de las medidas de gestión de riesgos de ciberseguridad implementadas son fundamentales. Esto implica establecer métricas, realizar revisiones periódicas e implementar mejoras basadas en los resultados para garantizar la eficacia continua de la postura de ciberseguridad.
9. Prácticas Básicas de Higiene Cibernética y Formación: Fomentar una cultura de concienciación sobre ciberseguridad y buenas prácticas entre los empleados es esencial. Esto incluye ofrecer programas periódicos de formación en ciberseguridad, sensibilización sobre amenazas comunes y la adopción de comportamientos responsables en la gestión diaria de las actividades informáticas.
10. Seguridad de los Recursos Humanos, Estrategias de Control de Acceso y Gestión de Activos: Las entidades deben abordar los riesgos de seguridad asociados a los recursos humanos, el control de acceso y la gestión de activos. Esto incluye la implementación de mecanismos robustos de control de acceso, la aplicación del principio de privilegio mínimo, la realización de verificaciones de antecedentes de los empleados y la implementación de prácticas seguras de gestión de activos.

Al abordar estos diez elementos clave dentro de sus políticas de gestión de riesgos de ciberseguridad, las entidades pueden establecer una base sólida para una postura de seguridad resiliente, garantizando la protección de sus sistemas, datos y servicios frente a las amenazas cibernéticas en constante evolución. Para profundizar en el marco normativo de referencia, está disponible el texto oficial de la Directiva NIS2.

[Callforaction-NIS2-Footer]