ISGroup Consultoría de Ciberseguridad

NIS2 y Autenticación de Múltiple Factor

La Directiva NIS2 promueve directamente el uso de la autenticación multifactor (MFA) como medida de ciberseguridad.

  • Artículo 21, apartado 2(j): Indica explícitamente “el uso de soluciones de autenticación multifactor o autenticación continua” como uno de los elementos clave de seguridad que las entidades esenciales e importantes deben considerar en la implementación de las medidas de gestión de riesgos de ciberseguridad.

Aunque la Directiva no hace obligatoria la adopción de la MFA en todos los casos, su inclusión entre estos elementos subraya la importancia de dicho control de seguridad, en particular para:

  • Control de Accesos: La MFA añade una capa adicional de seguridad para el acceso a sistemas y datos sensibles, haciendo significativamente más difícil para los usuarios no autorizados obtener acceso, incluso si han comprometido un factor de autenticación (por ejemplo, una contraseña).
  • Reducción del Impacto de las Credenciales Comprometidas: Dada la prevalencia de ataques de phishing y violaciones que conducen al robo de contraseñas, la MFA actúa como una salvaguarda crítica al requerir factores de verificación adicionales, típicamente más difíciles de obtener para los atacantes.

Los requisitos generales de la Directiva NIS2 apoyan implícitamente el uso de la MFA también a través de:

  • Enfoque de Gestión de Riesgos: El énfasis de la Directiva en un enfoque basado en el riesgo para la ciberseguridad (Artículo 21) implica que las entidades deben evaluar los riesgos para sus sistemas y datos e implementar controles adecuados. Dada la eficacia de la MFA para mitigar los riesgos de acceso no autorizado, esta sería probablemente considerada una medida proporcionada y esencial para muchas organizaciones sujetas a la Directiva.
  • Seguridad de las Redes y Sistemas de Información: El Artículo 21, apartado 1, requiere que las entidades adopten medidas para gestionar los riesgos y “prevenir o reducir al mínimo el impacto de los incidentes”. La MFA se alinea directamente con este objetivo reforzando la seguridad de los accesos y reduciendo la probabilidad de violaciones exitosas.

En resumen: Aunque la Directiva NIS2 no impone explícitamente el uso de la autenticación multifactor en cada escenario, fomenta fuertemente su adopción a través de:

  • La inclusión directa como elemento de seguridad clave a considerar.
  • El marco normativo basado en la gestión de riesgos, donde la MFA representa un control altamente relevante.
  • El énfasis en la necesidad de proteger los sistemas y reducir al mínimo el impacto de los incidentes.

Para las organizaciones que deben estructurar o verificar su proceso de adecuación, el servicio de Cumplimiento NIS2 de ISGroup apoya la identificación de las medidas técnicas requeridas, incluida la evaluación de los controles de autenticación previstos por el Artículo 21. El texto íntegro de la norma puede consultarse en el documento oficial de la Directiva NIS2.

[Callforaction-NIS2-Footer]

In