Implementación del Reglamento NIS2

La información es uno de los principales activos de las organizaciones, por lo que requiere de sistemas de protección adecuados ante cualquier amenaza que pueda poner en peligro dicha información.




La Directiva NIS1, fue la primera ley de ciberseguridad de la UE, que se convirtió en el primer instrumento horizontal del mercado interior destinado a mejorar la resiliencia de las redes y los sistemas de información en la Unión frente a los riesgos de ciberseguridad. Tras los retos que supuso una digitalización, acelerada en algunos casos, de las organizaciones en el UE la pandemia del Covid-19, en diciembre de 2020 la Comisión propuso un conjunto revisado de normas preparadas para el futuro con el fin de reforzar el nivel de ciberresiliencia en la Unión, sobre el que los colegisladores alcanzaron un acuerdo político el 13 de mayo de 2022 y adoptaron formalmente la nueva Directiva a finales de noviembre de 2022. Este nuevo reglamento pasó a ser denominado NIS2.

 

¿A quién afecta NIS2?

La Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión establece una clasificación de las empresas que deberán cumplir con la Directiva NIS2 y que centrará en lo que se denominan entidades esenciales e importantes.

Los sectores y subsectores de ALTA CRITICIDAD son:

 

Energía

Electricidad.

Electricidad.

Sistemas urbanos de calefacción
y de refrigeración.

Crudo.

Gas.

Transporte

Transporte aéreo

Transporte por ferrocarril

Transporte marítimo y fluvial

Transporte por carretera

Banca
Infraestructuras de los
mercados financieros
Sector sanitario
Agua Potable
Aguas residuales
Infraestructura digital
Gestión de servicios de TIC
(de empresa a empresa)
Entidades de la Administración pública

Con exclusión del poder judicial,
los parlamentos y los bancos centrales.

 

Espacio

Y los OTROS SECTORES CRÍTICOS a desarrollar la directiva NIS2 son:

 

Servicios postales y de mensajería
Gestión de residuos
Fabricación, producción y distribución
de sustancias y mezclas químicas
Producción, transformación y
distribución de alimentos
Investigación
Fabricación

Fabricación de productos sanitarios y productos sanitarios para diagnóstico in vitro.

Fabricación de productos sanitarios y productos sanitarios para diagnóstico in vitro.

Fabricación de productos informáticos, electrónicos y ópticos.

Fabricación de material eléctrico

Fabricación de maquinaria y equipo n.c.o.p.

Fabricación de vehículos de motor, remolques y semirremolques.

Proveedores de servicios digitales

Proveedores de mercados en línea.

Proveedores de motores de búsqueda en línea.

Proveedores de plataformas de servicios de redes sociales.

Adicionalmente, es muy relevante tener presente que la NIS2 no sólo afecta a grandes empresas si no que, según lo definido por la directiva, también las medianas empresas de todos estos sectores deben verse concernidas por su implementación dado que el ámbito de aplicación de

La presente Directiva se aplicará a las entidades públicas o privadas de alguno de los tipos mencionados […] que sean consideradas medianas empresas con arreglo al artículo 2 del anexo de la Recomendación 2003/361/CE

esto incluye empresas que ocupan a menos de 250 personas y más de 50 personas, cuyo volumen de negocios anual no excede de 50 millones o cuyo balance general anual no excede de 43 millones de euros y supera los 10 millones de euros en cualquiera de ambos casos.

Metodología de Implementación

El proyecto de implementación del reglamento NIS2 se lleva a cabo por fases, dónde se abordarán los aspectos relevantes necesarios para cada una de ellas.

Fase 1: Gap Análisis Cumplimiento NIS2

Etapa I: Preparación del Gap análisis

Se prepara la calendarización para la ejecución del GAP Análisis, se convocarán las reuniones y se seleccionan las muestras de activos a analizar durante el GAP.
Al final de esta etapa se formaliza el inicio del proyecto de implantación con los impulsores del proyecto y los perfiles relevantes en la ejecución de este.

Etapa II: Ejecución del Gap

Se realiza un análisis exhaustivo del negocio para la obtención del conocimiento necesario recopilando información procedente del personal implicado en el cumplimiento del reglamento, que sea consciente de las políticas, procesos y procedimientos actuales que gobiernan toda la organización y de la documentación que se haya generado con respecto al cumplimiento del Reglamento NIS2 o documentación corporativa relativa a la seguridad de la información.

Esta etapa también permite la identificación de las relaciones con terceras partes (proveedores de servicios) y cómo influyen en el cumplimiento del Reglamento NIS2.

Posterior a conocer el entorno de cumplimiento se validará la información obtenida contra los requisitos establecidos por el Reglamento de cara a comprobar el estado de cumplimiento de la Organización.

Etapa III: Informe Gap y entrega de resultados

Se redacta el Informe de resultados incluyendo el Plan de Acción con recomendaciones para la completa adecuación al reglamento.

El informe contendrá los siguientes puntos principales:

  • Resumen ejecutivo.
  • Metodología utilizada.
  • Estado actual de cumplimiento.
  • Plan de Acción.

Fase 2: Implantación NIS2

Etapa I: Planificación de tareas

A partir de los hallazgos encontrados en el Gap se procederá a la ejecución de la planificación de las tareas de implantación. Se asignarán responsabilidades para cada una de las tareas y se establecerá el método de seguimiento del proyecto.

 

Etapa II: Organización de la seguridad

Se definen roles y responsabilidades para gestionar los requerimientos del Reglamento NIS2, como, por ejemplo: Responsables de Seguridad e la Información, Comité/s de Seguridad de la Información, Propietarios de la información, etc.

 

Etapa III: Definición de la Política de Seguridad

Se definirá una Política de Seguridad, que deberá ser aprobada por la Dirección. Esta Política incluirá los objetivos de seguridad de la información y recogerá los compromisos de cumplir con los requisitos aplicables de seguridad y de mejora continua.

 

Etapa IV: Medidas para el cumplimiento de las obligaciones de Seguridad

Deberá tenerse en cuenta la ejecución y/o redacción de diferentes actividades y documentación que incluirá, entre otras:

  • Análisis de Riesgos
  • Catalogo de medidas de Seguridad, organizativas, tecnológicas y físicas
  • Adquisición de productos o servicios de seguridad
  • Gestión de Incidentes
  • Planes de recuperación y aseguramiento de la continuidad de las operaciones
  • Mejora continua
  • Interconexión de sistemas
  • Registros de actividad de usuarios

Etapa V: Formación en ciberseguridad

Formar al personal es pieza clave y necesaria por lo que deberá definirse el plan de formación acorde a las características y exigencias.

 

Fase 3: Auditoría Interna

Etapa I: Preparación de la auditoria

Se elaborará el Plan de Auditoria determinando puntos que pudieran ser necesarios para ciertas tareas, restricciones horarias, necesidad de tramitar tarjetas de acceso a salas o edificios, interlocutores, guías para las entrevistas, etc.

 

Etapa II: Ejecución de la auditoria

Se ejecutarán reuniones establecidas en el Plan de Auditoría de la fase anterior, llevando a cabo una revisión de la conformidad de los requisitos del Reglamento NIS2.

 

Etapa III: Informe de auditoría y entrega de resultados

Como resultado de la Auditoría, Internet Security Auditors remitirá:

  • Resumen Ejecutivo.
  • Informe de Auditoría.
  • Y un Plan de Acción.

No dudes en ponerte en contacto con nosotros si necesitas más información

Por favor, introduzca un número de teléfono válido.
CAPTCHA
Esta pregunta es para comprobar si usted es un visitante humano y prevenir envíos de spam automatizado.