ISGroup Consultoría de Ciberseguridad

¿Cuáles son los requisitos específicos que una empresa debe cumplir para ser considerada un “sujeto crítico” según la Directiva de la UE sobre Ciberseguridad?

Las fuentes no contienen información sobre los requisitos específicos que una empresa debe cumplir para ser considerada un “sujeto crítico” según la Directiva de la UE sobre Ciberseguridad. Sin embargo, las fuentes afirman que los sujetos identificados como críticos están definidos en la Directiva (UE) 2022/2557. Para profundizar en quién entra dentro del perímetro, es útil consultar también la lista de sujetos NIS2 publicada por la ACN.

Las fuentes también enumeran varios requisitos para las “entidades esenciales e importantes”, entre ellos:

  • Adoptar medidas técnicas, operativas y organizativas para gestionar los riesgos para la seguridad de los sistemas de red y de información.
  • Notificar sin demora indebida cualquier incidente significativo a su Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT) o a la autoridad nacional competente.
  • Utilizar productos, servicios y procesos TIC certificados que hayan sido certificados conforme a los esquemas europeos de certificación de ciberseguridad.
  • Cooperar con las autoridades competentes en caso de investigación o incidente.
  • Designar o establecer un CSIRT.
  • Adoptar una estrategia nacional de ciberseguridad.
  • Designar o establecer una o más autoridades competentes responsables de la gestión de incidentes y crisis de ciberseguridad a gran escala.

Las fuentes explican que, aunque la directiva NIS2 cubre una amplia gama de sectores y entidades, algunas entidades, como las del sector financiero, pueden estar sujetas a otros reglamentos de la UE además de, o en sustitución de, la directiva NIS2. Por ejemplo, las entidades financieras están cubiertas por el Reglamento (UE) 2022/2554, que contiene requisitos similares en materia de gestión del riesgo de ciberseguridad y notificación de incidentes que la directiva NIS2. No obstante, las fuentes especifican que las entidades financieras siguen estando sujetas a los artículos de la directiva NIS2 relativos a las estrategias nacionales de ciberseguridad, los planes nacionales de respuesta a incidentes y crisis de ciberseguridad, y la red europea de enlace para las crisis cibernéticas (EU-CyCLONe). Para las organizaciones que deben verificar su posición respecto a estas obligaciones, el camino de cumplimiento de la directiva NIS2 ofrecido por ISGroup puede ser un punto de partida concreto.

[Callforaction-NIS2-Footer]

In