Tu guía sobre NIS2 y lo que significa para la ciberseguridad de tu organización

Por qué NIS2: Ciberseguridad para infraestructuras críticas

La directiva NIS2 exige a las empresas de infraestructuras críticas que aborden riesgos potenciales como los errores humanos, los fallos de los sistemas, los agentes maliciosos, las catástrofes naturales y la seguridad física y medioambiental de los sistemas que afectan a la seguridad de sus redes e información. Estas empresas deben vigilar sus riesgos de ciberseguridad y disponer de planes para mantener la continuidad de su actividad. 

Las posibles consecuencias del incumplimiento de las normas dan que pensar, ya que las organizaciones que las incumplan pueden enfrentarse a multas de hasta 10 millones de euros, o el 2% de la facturación anual total. 
 

¿Cuándo entrará en vigor el NIS2? 

El NIS2 de la UE entró en vigor el 16 de enero de 2023 y se incorporará a la legislación de todos los Estados miembros el 17 de octubre de 2024. Aunque hubo un predecesor de la nueva política (el NIS se introdujo originalmente en 2016), el NIS2 se aplica a más organizaciones que el NIS.

Este artículo te ayudará a averiguar si tu organización está sujeta al NIS2 y, en caso afirmativo, te ofrece consejos sobre cómo puedes cumplir esta ley y evitar los peligros del incumplimiento. 
 

¿Está tu organización sujeta a la normativa NIS2? 

Que estés o no sujeto al NIS2 depende principalmente de dos factores: el sector en el que operas y el tamaño de tu organización.  

Entre los sectores a los que se aplica la NIS2 (también divididos en “Muy críticos” y “Críticos”) figuran:
 

Muy críticos	Críticos
Transporte	Fabricación
Energía	Gestión de residuos
Banca e infraestructura del mercado financiero	Servicios postales y de mensajería
Sanidad	Producción, procesado y distribución de alimentos
Agua potable	Producción química y farmacéutica
Aguas residuales	Proveedores de servicios digitales
Infraestructura digital	Investigación
Gestión de servicios ICT (tecnología de la información y las comunicaciones, B2B)
Administraciones públicas
Viajes espaciales

El tamaño de la empresa/organización también es un factor decisivo, ya que todas las organizaciones medianas (51-249 empleados; facturación anual < 50 millones de euros) y las grandes (> 250 empleados; facturación anual > 50 millones de euros) están cubiertas por la legislación. 
 

¿Eres Esencial o Importante?

Si tu organización cumple los requisitos para acogerse a la normativa NIS2, hay que hacer una importante distinción adicional: Las empresas “Muy críticas” son “Esenciales”, las empresas “Críticas” son “Importantes”. 

Ambas están sujetas a los mismos requisitos de gestión de la ciberseguridad y obligaciones de notificación de incidentes en virtud de la NIS2. Sin embargo, la supervisión del cumplimiento es diferente para cada una: 
 

Muy crítica = Esencial	Crítica = Importante
Para las organizaciones “esenciales”, el seguimiento debe ser estrictamente proactivo y  reflejarse claramente en procesos, y los reguladores deben comprobar que estas organizaciones aplican estas medidas y las cumplen correctamente.	Para las organizaciones “importantes”, la supervisión será reactiva cuando haya pruebas de un ciberincidente.

Cuatro áreas de requisitos clave

NIS2 se basa en NIS y tiene cuatro nuevas áreas de requisitos clave que están diseñadas para garantizar la ciberseguridad de tu organización. 

Debes asegurarte de que puedes demostrar lo siguiente: 

• Gestión de riesgos: Las organizaciones deben abordar todos los riesgos potenciales, incluidos los errores humanos, los fallos del sistema, los agentes malintencionados, las catástrofes naturales y la seguridad física y medioambiental de los sistemas. 
• Responsabilidad corporativa: La NIS2 responsabiliza a los ejecutivos de nivel C y exige que la dirección supervise, apruebe, reciba formación y aborde los riesgos para la ciberseguridad de su organización. Los ejecutivos serán considerados personalmente responsables mediante medidas como la suspensión de sus cargos directivos si no lo hacen. 
• Obligaciones de notificación: NIS2 tiene requisitos detallados para la notificación de incidentes de seguridad, por lo que si tu organización es aplicable a NIS2 es vital que dispongas de procesos para notificar rápidamente los incidentes de seguridad. 
• Continuidad de la actividad: Como NIS2 se aplica a los proveedores de servicios vitales para el funcionamiento de la sociedad, estas organizaciones deben disponer de planes para mantener sus servicios en funcionamiento si sufren un incidente de seguridad grave. Estos planes deben incluir la recuperación del sistema, procedimientos de emergencia y la creación de un equipo de respuesta a crisis. 

 

Medidas mínimas de seguridad que debes cubrir conforme al NIS2 

Si tu organización está sujeta a la normativa NIS2, debes adoptar medidas de gestión de riesgos adecuadas y proporcionales para prevenir incidentes de seguridad y minimizar su impacto. 

Para ayudarte a abordarlas, NIS2 estipula diez medidas básicas que debes tener en cuenta:

1. Políticas de análisis de riesgos y seguridad de los sistemas de información.   
2. Gestión de incidentes.   
3. Continuidad del negocio, como gestión de copias de seguridad y recuperación de desastres, y gestión de crisis.   
4. Seguridad en la cadena de suministro, incluidos los aspectos relacionados con la seguridad en las relaciones entre cada entidad y sus proveedores directos o proveedores de servicios. 
5. Seguridad en la adquisición, desarrollo y mantenimiento de redes y sistemas de información, incluida la gestión y divulgación de vulnerabilidades.    
6. Políticas y procedimientos para evaluar la eficacia de las medidas de gestión de riesgos de ciberseguridad.   
7. Prácticas básicas de ciberhigiene y formación en ciberseguridad.    
8. Políticas y procedimientos relativos al uso de criptografía y, en su caso, cifrado.
9. Seguridad de los recursos humanos, políticas de control de acceso y gestión de activos. 
10. El uso de soluciones de autenticación multifactor o autenticación continua, comunicaciones de voz, vídeo y texto seguras, y sistemas de comunicación de emergencia seguros dentro de la entidad, cuando proceda.

Garantizar que cumples los requisitos del NIS2: Cómo puede ayudarte Konica Minolta

Ahora es el momento de tomar medidas, como ha comentado Martin Mølvig, Director de Servicios de Seguridad para Europa de Konica Minolta: “El lanzamiento del NIS2 ha puesto de relieve los problemas de ciberseguridad para muchas organizaciones a las que no afectaba la normativa NIS original y que quizá no eran conscientes de ello con anterioridad. Es vital que todas las organizaciones consideren cómo se ven afectadas y qué deben hacer para cumplir la normativa.”

Martin añadió: “Puede resultar tentador evitar invertir en la protección de ciberseguridad adecuada, pero la NIS2 sube el listón para todos. Por ejemplo, desde el punto de vista de la continuidad del negocio, puede haber soluciones para mantenerlo en marcha hasta la recuperación. Pero, ¿qué les dices a las partes interesadas, a los clientes, a la prensa, etc., cuando hay interrupciones en tus operaciones?”

Konica Minolta ofrece una serie de soluciones profesionales de seguridad que pueden ayudar a abordar algunos de los requisitos clave del NIS2, como: 

• Gestión y mantenimiento de incidentes, incluida la gestión y divulgación de vulnerabilidades. 
• Continuidad del negocio con gestión de copias de seguridad.  
• El uso de autenticación multifactor. 

Gestión y mantenimiento de incidentes, incluida la gestión y divulgación de vulnerabilidades

El servicio de protección de puntos finales Workplace Intrusion Patrol de Konica Minolta, basado en Microsoft Defender, protege los puntos finales de IT, como PCs/portátiles, tabletas y teléfonos móviles, así como servidores, independientemente de dónde trabajen los empleados e incluso en periodos cortos en los que no estén conectados a una red. El servicio detecta y neutraliza los ataques furtivos que han conseguido eludir otras medidas de seguridad de protección (como contraseñas y herramientas antivirus tradicionales) y ahora están presentes en el entorno informático, deteniendo a los intrusos antes de que puedan utilizar el punto final como trampolín para ataques más amplios o graves contra los sistemas y datos centrales. En caso de amenaza, este servicio basado en la nube aísla el dispositivo y elimina la amenaza antes de que se propague aún más en el entorno informático. 

La solución antivirus de vanguardia Bitdefender se puede incrustar en el firmware de la impresora multifunción bizhub i-Series de Konica Minolta y supervisa en tiempo real todos los archivos escaneados y los documentos transferidos hacia y desde ella. Detecta inmediatamente virus y malware e informa sobre la amenaza potencial. También permite el escaneado manual en discos duros, así como el escaneado bajo demanda. Esto evita la propagación de virus a otros PC y servidores y garantiza que el dispositivo multifunción no se convierta en un trampolín para la pérdida de información corporativa.  

Además, con Shield Guard (el servicio en la nube de Konica Minolta para la supervisión y gestión remota de la seguridad de los equipos multifunción) se puede supervisar la configuración de seguridad de varios equipos multifunción desde cualquier lugar. Recopila información sobre el estado de seguridad de todos los dispositivos, envía notificaciones en caso de incidente y lleva a cabo la mitigación. 
 

Continuidad empresarial con gestión de copias de seguridad 

Workplace One de Konica Minolta es una solución integral que incluye un entorno gestionado de Microsoft 365, servicios gestionados de copia de seguridad, supervisión remota proactiva y habilitación de servicios en línea como Exchange, Teams, OneDrive, etc. en Microsoft 365. El servicio de copia de seguridad gestionada de Workplace One proporciona un servicio de copia de seguridad y recuperación totalmente gestionado y automatizado para evitar la pérdida de datos y las costosas interrupciones de la actividad empresarial. Con sus servicios de gestión y copias de seguridad diarias, Konica Minolta garantiza que todos tus correos electrónicos y archivos (incluidos OneDrive, SharePoint y Microsoft Teams) estén siempre protegidos y restaura los datos de la copia de seguridad en el Centro de Datos en caso de pérdida de datos debido a una amenaza de ciberataque. Los datos se alojan en los centros de datos certificados ISO27001 de Konica Minolta en Alemania y Suecia.
 

El uso de la autenticación multifactor 

Además, Workplace One ofrece autenticación multifactor (MFA), que impide el acceso no autorizado a información sensible. Con MFA, tus usuarios deben presentar una combinación de dos o más credenciales para verificar su identidad para iniciar sesión. La solución de impresión en la nube Workplace Pure de Konica Minolta también ofrece MFA.

Puedes probar Workplace Pure gratis durante 30 días (sin compromiso) aquí.