Auditoría, Ciberseguridad, Esquema Nacional de Seguridad (ENS), Legislación, Seguridad, Uncategorized, , , ,

La Directiva (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de diciembre de 2019, sobre la seguridad de la red y la protección de los sistemas críticos, establece un marco comunitario para garantizar la seguridad de las infraestructuras críticas, incluyendo instalaciones de seguridad como sistemas de videovigilancia (CCTV). La NIS2 o Directiva UE 2022/2555 del Parlamento Europeo y del Consejo, del 27 de diciembre de 2022, es una norma que se aplica a estas instalaciones y establece obligaciones específicas para garantizar su seguridad y protección. En este artículo, se analizarán las obligaciones que impone la NIS2 a las instalaciones de seguridad, particularmente a las de CCTV, y se explorarán los detalles de cómo se relacionan con el Esquema Nacional de Seguridad, el Real Decreto 311/2022, de 3 de mayo, la Guía CCN-STIC 892 y el Reglamento Europeo 2019/881.

Fecha de Entrada en Vigor y Empresas Afectadas

A fecha de 17 de enero de 2023 ha comenzado el periodo de transposición de la Directiva NIS 2 por los Estados miembro de la UE, el cual finalizará el 17 de octubre de 2024.

De la misma forma, con fecha límite de 17 de enero de 2025, los Estados miembro deberán haber comunicado el régimen sancionador aplicable por incumplimiento y, para el 17 de abril de 2025 habrán elaborado una lista de entidades esenciales e importantes:

– Entidades esenciales, que serán aquellas que pertenezcan a los Sectores de Alta Criticidad (11 sectores):

  • Energía
  • Banca
  • Infraestructuras de mercados financieros
  • Sector Sanitario
  • Transporte
  • Infraestructura digital
  • Aguas potables
  • Aguas Residuales
  • Administración Pública (con exclusión del poder judicial, parlamentos y bancos centrales)
  • Gestión de Servicios TIC
  • Espacio

– Entidades importantes, que serán todas aquellas entidades que pertenezcan a los sectores de alta criticidad o a otros sectores críticos que no pueden considerarse entidades esenciales. Otros sectores críticos (7 sectores):

  • Investigación
  • Química
  • Alimentación
  • Servicios Postales
  • Proveedores digitales
  • Fabricación
  • Gestión de residuos

Un total de 18 sectores, a los que la Directiva NIS2 les es de aplicación.

Obligaciones de la NIS2

La NIS2 establece varias obligaciones para las instalaciones de seguridad, incluyendo:

  1. Identificación de los Riesgos: Las instalaciones de seguridad deben identificar y evaluar los riesgos potenciales que pueden afectar su seguridad y protección. Esto incluye la identificación de vulnerabilidades en los sistemas y la evaluación de los impactos que podrían tener en la seguridad de la instalación.
  2. Implementación de Medidas de Seguridad: Las instalaciones de seguridad deben implementar medidas de seguridad para mitigar los riesgos identificados. Esto puede incluir la instalación de sistemas de detección de intrusos, la implementación de políticas de acceso controlado y la capacitación de los empleados en seguridad.
  3. Monitorización y Pruebas: Las instalaciones de seguridad deben monitorizar y probar regularmente sus sistemas de seguridad para asegurarse de que estén funcionando correctamente. Esto incluye la realización de pruebas de penetración y la evaluación de la resistencia a ataques.
  4. Notificación de Incidentes: Las instalaciones de seguridad deben notificar cualquier incidente de seguridad a las autoridades competentes y a los responsables de la seguridad de la instalación. Esto incluye la notificación de incidentes de seguridad, como intrusiones o ataques informáticos.
  5. Certificación y Acreditación: Las instalaciones de seguridad deben ser certificadas y acreditadas por organismos competentes. Esto incluye la certificación de los sistemas de seguridad y la acreditación de los empleados en seguridad.
  6. Plan de Emergencia: Las instalaciones de seguridad deben tener un plan de emergencia que incluya procedimientos para responder a incidentes de seguridad.
  7. Capacitación de Empleados: Las instalaciones de seguridad deben capacitar a sus empleados en seguridad y proporcionarles entrenamiento regular para mantener sus habilidades actualizadas.
  8. Seguridad de la Información: Las instalaciones de seguridad deben proteger la información confidencial y garantizar que sea accesible solo a aquellos que lo necesitan.
  9. Seguridad de los Sistemas: Las instalaciones de seguridad deben proteger sus sistemas de seguridad contra ataques y vulnerabilidades.
  10. Seguimiento y Evaluación: Las instalaciones de seguridad deben realizar un seguimiento y evaluación regular de sus sistemas de seguridad para asegurarse de que estén funcionando correctamente y para identificar áreas de mejora.

Relación con el Esquema Nacional de Seguridad

El Esquema Nacional de Seguridad (ENS) es un marco de referencia para la seguridad en España. La NIS2 se integra en el ENS y establece obligaciones específicas para las instalaciones de seguridad. El ENS establece un enfoque integral para la seguridad, que incluye la identificación de riesgos, la implementación de medidas de seguridad y la notificación de incidentes.

Real Decreto 311/2022, de 3 de mayo

El Real Decreto 311/2022, de 3 de mayo, establece las normas para la seguridad de las instalaciones de seguridad críticas. La NIS2 se aplica a las instalaciones de seguridad que operan en sectores críticos, como la energía y la sanidad. El Real Decreto 311/2022 establece obligaciones específicas para estas instalaciones, incluyendo la implementación de medidas de seguridad y la notificación de incidentes.

Guía CCN-STIC 892

La Guía CCN-STIC 892 es un documento que proporciona orientación práctica para la implementación de la NIS2. La guía establece recomendaciones para la identificación de riesgos, la implementación de medidas de seguridad y la notificación de incidentes. La guía es de aplicación para todas las instalaciones de seguridad que operan en España.

Reglamento Europeo 2019/881 del Parlamento y del Consejo, del 17 de abril

El Reglamento Europeo 2019/881 del Parlamento y del Congreso, del 17 de abril, establece un marco comunitario para la seguridad de las infraestructuras críticas. La NIS2 se aplica a las instalaciones de seguridad que operan en sectores críticos, como la energía y la sanidad. El Reglamento Europeo 2019/881 establece obligaciones específicas para estas instalaciones, incluyendo la implementación de medidas de seguridad y la notificación de incidentes.

Bibliografía

Directiva (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de diciembre de 2019, sobre la seguridad de la red y la protección de los sistemas críticos.

Real Decreto 311/2022, de 25 de marzo, por el que se establecen las normas para la seguridad de las instalaciones de seguridad críticas.

Guía CCN-STIC 892, de 2022, sobre la implementación de la Directiva (UE) 2019/881.

Esquema Nacional de Seguridad, de 2022.

Artículo publicado el LinkedIn el 12/06/2024, para acceder al artículo pulsar aquí.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies
Consentimiento de Cookies con Real Cookie Banner