La Directiva NIS2 promueve la integración de consideraciones en materia de ciberseguridad en las prácticas de contratación pública, en particular para los productos y servicios de tecnología de la información y la comunicación (TIC).

La directiva reconoce el papel crucial que desempeña la contratación pública en el refuerzo de la ciberseguridad en toda la Unión Europea. El objetivo principal de la NIS2 es elevar el nivel común de seguridad de las redes y los sistemas de información, y la contratación pública es uno de los instrumentos a través de los cuales se materializa este objetivo.

Aunque la Directiva NIS2 fomenta la inclusión de requisitos de ciberseguridad, no prescribe métodos específicos para la implementación de dichos requisitos en los procesos de contratación por parte de los Estados miembros. Sin embargo, sugiere las siguientes medidas para orientar a los Estados miembros.

Directiva NIS2: Certificación de ciberseguridad

Promover el uso de productos y servicios TIC que hayan obtenido certificaciones de ciberseguridad en el marco del esquema europeo de certificación de ciberseguridad. Esto garantiza que dichos productos y servicios cumplan con estándares de seguridad específicos.

Cifrado

Favorecer el uso obligatorio de tecnologías de cifrado en los productos y servicios TIC adquiridos por las entidades públicas. El cifrado protege los datos sensibles y las comunicaciones frente al acceso no autorizado, mejorando la protección general de los datos.

Productos de código abierto para la ciberseguridad

Fomentar el uso de productos de código abierto (open-source) para la ciberseguridad en la contratación pública. Las soluciones de código abierto pueden ofrecer transparencia, flexibilidad y ventajas en términos de costes, permitiendo al mismo tiempo mejoras de seguridad impulsadas por la comunidad.

Los riesgos según la Directiva NIS2

Además de estas medidas específicas, la Directiva NIS2 subraya la importancia de un enfoque basado en el riesgo para la ciberseguridad en la contratación pública. Esto significa:

• Identificar los riesgos: Las entidades públicas deben realizar evaluaciones de riesgo exhaustivas para identificar las posibles amenazas y vulnerabilidades de ciberseguridad asociadas a los productos y servicios TIC que pretenden adquirir.
• Especificar los requisitos: Los pliegos de licitación deben definir claramente los requisitos de ciberseguridad para garantizar que los posibles proveedores comprendan y puedan cumplir con los estándares de seguridad necesarios.
• Evaluar a los proveedores: Las entidades públicas deben evaluar a los proveedores en función de sus capacidades de ciberseguridad, incluida la gestión de riesgos, los procedimientos de respuesta a incidentes y el cumplimiento de los estándares de seguridad pertinentes.
• Seguimiento y revisión: Las medidas de ciberseguridad en la contratación pública deben ser objeto de seguimiento y revisión periódicos para adaptarse a la evolución de las amenazas y garantizar una eficacia continua.

La directiva tiene como objetivo crear un entorno digital más seguro, promoviendo la adquisición de productos y servicios TIC con sólidas características de ciberseguridad. Para las organizaciones que necesitan estructurar o verificar su proceso de adecuación, el soporte para el cumplimiento de la NIS2 ofrecido por ISGroup cubre tanto la evaluación de las medidas implementadas como la definición de las acciones correctivas necesarias.

[Callforaction-NIS2-Footer]