Ciberseguridad, Legislación, Seguridad, Uncategorized, , ,

La evolución constante de las ciberamenzas ha llevado a la implementación de medidas más rigurosas para salvaguardar la infraestructura crítica. La Directiva NIS2 (Network and Information Systems) emerge como un marco regulatorio crucial, no solo para la seguridad digital, sino también para reforzar aspectos fundamentales, como la seguridad física. Este artículo explora las implicaciones de la Directiva Europea NIS2 en las instalaciones de seguridad.

La NIS2 es una directiva de la Unión Europea que regula las medidas de ciberseguridad para garantizar un elevado nivel común de ciberseguridad en toda la Unión. Esta directiva entró en vigor el 5 de enero de 2023 y establece un plazo de dos años para que los Estados miembros la transpongan a su legislación nacional.

La NIS2 actualiza y amplía el alcance de la anterior directiva NIS, que se centraba en los servicios esenciales y los proveedores de servicios digitales. La NIS2 pretende abordar los retos y amenazas actuales y emergentes en el ámbito de la ciberseguridad, así como adaptarse a los avances tecnológicos y los estándares internacionales.

En España, la NIS2 se aplicará a las entidades públicas y privadas que prestan servicios esenciales o importantes para la sociedad y la economía, así como a los proveedores de servicios o productos tecnológicos que actúan en nombre o por cuenta de dichas entidades.  Estas entidades pertenecen, entre otros, al sector sanitario, el educativo, el energético, el financiero, el transporte, el turismo, el comercio, la industria y la defensa. Estas entidades deberán cumplir con una serie de obligaciones de seguridad, tales como adoptar medidas de gestión de riesgos, notificar los incidentes de ciberseguridad, obtener un certificado de conformidad y someterse a revisiones e inspecciones periódicas.

Para facilitar la aplicación de la NIS2 en España, se prevé la designación de autoridades competentes de ciberseguridad, supervisión y punto de contacto único, así como de equipos de respuesta a incidentes de seguridad informática (CSIRT). Estas autoridades y equipos serán los responsables de supervisar, asesorar, apoyar y cooperar con las entidades afectadas por la NIS2, así como con las autoridades y equipos de otros Estados miembros y de la Unión.

La NIS2 supone un refuerzo de la seguridad (física y ciber), al ampliar el ámbito de aplicación, establecer medidas de seguridad más exigentes y armonizadas, y fomentar la cooperación y el intercambio de información entre los distintos actores involucrados. La NIS2 contribuirá a mejorar la confianza, la resiliencia y la capacidad de respuesta ante los incidentes de seguridad y ciberseguridad, así como a impulsar la innovación y la competitividad de las entidades y los proveedores de servicios o productos tecnológicos.

¿Qué implica Directiva Europea NIS2 en las instalaciones de seguridad?

La inclusión de la Directiva Europea NIS2 en las instalaciones de seguridad, supone una serie de cambios y novedades que afectan a las instalaciones de seguridad en los siguientes aspectos:

El ámbito de aplicación: Como se ha indicado, la NIS2 amplía su ámbito de aplicación a todas las entidades públicas y privadas que prestan servicios esenciales o importantes para la sociedad y la economía, así como a los proveedores de servicios o productos tecnológicos que actúan en nombre o por cuenta de dichas entidades. Esto significa que todas estas entidades y proveedores deben adecuar sus instalaciones de seguridad a la NIS2, tanto si son propias como si son compartidas o externalizadas.

La categorización de la seguridad: La NIS2 establece tres categorías de seguridad para clasificar las instalaciones de seguridad en función del nivel de protección que requieren: bajo, medio y alto. Estas categorías se determinan en función de los criterios de impacto, que evalúan las consecuencias negativas que podría tener un incidente de ciberseguridad sobre la información y los servicios, y los criterios de complejidad, que valoran la dificultad técnica y organizativa para garantizar la seguridad. Cada categoría de seguridad implica unas medidas de seguridad específicas, que se detallan en el anexo II de la NIS2.

Las medidas de seguridad: La NIS2 define un conjunto de medidas de seguridad que deben aplicarse a las instalaciones de seguridad, según su categoría, para garantizar su adecuada protección. Estas medidas se agrupan en cuatro dimensiones: organizativa, operativa, de protección y de recuperación. Algunas de estas medidas son:

  • La definición de una política de seguridad, que establezca los objetivos, principios, responsabilidades y normas de seguridad de las instalaciones de seguridad.
  • La realización de un análisis de riesgos, que identifique y evalúe los riesgos a los que están expuestas las instalaciones de seguridad, así como las medidas de seguridad existentes o necesarias para mitigarlos.
  • La implantación de un sistema de gestión de la seguridad, que permita planificar, implementar, monitorizar y mejorar las medidas de seguridad de las instalaciones de seguridad.
  • La aplicación de controles de acceso físico y lógico, que impidan el acceso no autorizado a las instalaciones de seguridad, tanto por parte de personas como de dispositivos.
  • La instalación de sistemas de detección y prevención de intrusiones, que detecten y prevengan los intentos de acceso no autorizado o malicioso a las instalaciones de seguridad.
  • La elaboración de planes de contingencia y continuidad, que establezcan los procedimientos y recursos necesarios para garantizar la continuidad de la información y los servicios en caso de incidente de ciberseguridad.

Las revisiones e inspecciones periódicas: La NIS2 establece que las instalaciones de seguridad deben someterse a revisiones e inspecciones periódicas, con el fin de verificar el cumplimiento de los requisitos de seguridad y detectar posibles deficiencias o mejoras. Estas revisiones e inspecciones deben realizarse por personal cualificado y acreditado, y deben documentarse en un informe que recoja los resultados y las recomendaciones. La periodicidad de estas revisiones e inspecciones depende de la categoría de seguridad de las instalaciones, siendo de cinco años para la categoría baja, de tres años para la categoría media y de dos años para la categoría alta.

La certificación de la conformidad: La NIS2 establece que las instalaciones de seguridad deben obtener un certificado de conformidad que acredite que cumplen con los requisitos de seguridad establecidos por la NIS2. Este certificado debe ser emitido por una entidad de certificación acreditada por la Entidad Nacional de Acreditación (ENAC), y debe renovarse cada vez que se realice una revisión o inspección periódica. La obtención de este certificado es obligatoria para las instalaciones de seguridad de categoría media y alta, y voluntaria para las de categoría baja.

Artículo publicado el LinkedIn el 04/03/2024, para acceder al artículo pulsar aquí.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies
Consentimiento de Cookies con Real Cookie Banner