La información es uno de los principales activos de las organizaciones, por lo que requiere de sistemas de protección adecuados ante cualquier amenaza que pueda poner en peligro dicha información.
La Directiva NIS1, fue la primera ley de ciberseguridad de la UE, que se convirtió en el primer instrumento horizontal del mercado interior destinado a mejorar la resiliencia de las redes y los sistemas de información en la Unión frente a los riesgos de ciberseguridad. Tras los retos que supuso una digitalización, acelerada en algunos casos, de las organizaciones en el UE la pandemia del Covid-19, en diciembre de 2020 la Comisión propuso un conjunto revisado de normas preparadas para el futuro con el fin de reforzar el nivel de ciberresiliencia en la Unión, sobre el que los colegisladores alcanzaron un acuerdo político el 13 de mayo de 2022 y adoptaron formalmente la nueva Directiva a finales de noviembre de 2022. Este nuevo reglamento pasó a ser denominado NIS2.
La Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión establece una clasificación de las empresas que deberán cumplir con la Directiva NIS2 y que centrará en lo que se denominan entidades esenciales e importantes.
Los sectores y subsectores de ALTA CRITICIDAD son:
Electricidad.
Electricidad.
Sistemas urbanos de calefacción
y de refrigeración.
Crudo.
Gas.
Transporte aéreo
Transporte por ferrocarril
Transporte marítimo y fluvial
Transporte por carretera
Con exclusión del poder judicial,
los parlamentos y los bancos centrales.
Y los OTROS SECTORES CRÍTICOS a desarrollar la directiva NIS2 son:
Fabricación de productos sanitarios y productos sanitarios para diagnóstico in vitro.
Fabricación de productos sanitarios y productos sanitarios para diagnóstico in vitro.
Fabricación de productos informáticos, electrónicos y ópticos.
Fabricación de material eléctrico
Fabricación de maquinaria y equipo n.c.o.p.
Fabricación de vehículos de motor, remolques y semirremolques.
Proveedores de mercados en línea.
Proveedores de motores de búsqueda en línea.
Proveedores de plataformas de servicios de redes sociales.
Adicionalmente, es muy relevante tener presente que la NIS2 no sólo afecta a grandes empresas si no que, según lo definido por la directiva, también las medianas empresas de todos estos sectores deben verse concernidas por su implementación dado que el ámbito de aplicación de
esto incluye empresas que ocupan a menos de 250 personas y más de 50 personas, cuyo volumen de negocios anual no excede de 50 millones o cuyo balance general anual no excede de 43 millones de euros y supera los 10 millones de euros en cualquiera de ambos casos.
El proyecto de implementación del reglamento NIS2 se lleva a cabo por fases, dónde se abordarán los aspectos relevantes necesarios para cada una de ellas.
Se prepara la calendarización para la ejecución del GAP Análisis, se convocarán las reuniones y se seleccionan las muestras de activos a analizar durante el GAP.
Al final de esta etapa se formaliza el inicio del proyecto de implantación con los impulsores del proyecto y los perfiles relevantes en la ejecución de este.
Se realiza un análisis exhaustivo del negocio para la obtención del conocimiento necesario recopilando información procedente del personal implicado en el cumplimiento del reglamento, que sea consciente de las políticas, procesos y procedimientos actuales que gobiernan toda la organización y de la documentación que se haya generado con respecto al cumplimiento del Reglamento NIS2 o documentación corporativa relativa a la seguridad de la información.
Esta etapa también permite la identificación de las relaciones con terceras partes (proveedores de servicios) y cómo influyen en el cumplimiento del Reglamento NIS2.
Posterior a conocer el entorno de cumplimiento se validará la información obtenida contra los requisitos establecidos por el Reglamento de cara a comprobar el estado de cumplimiento de la Organización.
Se redacta el Informe de resultados incluyendo el Plan de Acción con recomendaciones para la completa adecuación al reglamento.
El informe contendrá los siguientes puntos principales:
- Resumen ejecutivo.
- Metodología utilizada.
- Estado actual de cumplimiento.
- Plan de Acción.
A partir de los hallazgos encontrados en el Gap se procederá a la ejecución de la planificación de las tareas de implantación. Se asignarán responsabilidades para cada una de las tareas y se establecerá el método de seguimiento del proyecto.
Se definen roles y responsabilidades para gestionar los requerimientos del Reglamento NIS2, como, por ejemplo: Responsables de Seguridad e la Información, Comité/s de Seguridad de la Información, Propietarios de la información, etc.
Se definirá una Política de Seguridad, que deberá ser aprobada por la Dirección. Esta Política incluirá los objetivos de seguridad de la información y recogerá los compromisos de cumplir con los requisitos aplicables de seguridad y de mejora continua.
Deberá tenerse en cuenta la ejecución y/o redacción de diferentes actividades y documentación que incluirá, entre otras:
- Análisis de Riesgos
- Catalogo de medidas de Seguridad, organizativas, tecnológicas y físicas
- Adquisición de productos o servicios de seguridad
- Gestión de Incidentes
- Planes de recuperación y aseguramiento de la continuidad de las operaciones
- Mejora continua
- Interconexión de sistemas
- Registros de actividad de usuarios
Formar al personal es pieza clave y necesaria por lo que deberá definirse el plan de formación acorde a las características y exigencias.
Se elaborará el Plan de Auditoria determinando puntos que pudieran ser necesarios para ciertas tareas, restricciones horarias, necesidad de tramitar tarjetas de acceso a salas o edificios, interlocutores, guías para las entrevistas, etc.
Se ejecutarán reuniones establecidas en el Plan de Auditoría de la fase anterior, llevando a cabo una revisión de la conformidad de los requisitos del Reglamento NIS2.
Como resultado de la Auditoría, Internet Security Auditors remitirá:
- Resumen Ejecutivo.
- Informe de Auditoría.
- Y un Plan de Acción.