UE, NIS2 y ciberseguridad

16/09/2024

La Directiva NIS2 es la legislación actualizada sobre ciberseguridad de la Unión Europea basada en la anterior Directiva NIS de 2016, que pretende mejorar la postura general de ciberseguridad en toda la UE, pues:

  • amplia el ámbito de aplicación;
  • introduce requisitos más estrictos;
  • y refuerza las medidas para su aplicación.

Aunque NIS2 se centra en empresas europeas, es aplicable a empresas radicadas fuera de la UE, pero que prestan servicios esenciales en la economía europea.

NIS2 introduce obligaciones de notificaciones de incidentes a través de unos requisitos y una aplicación más rigurosa. Antes del 17 de octubre de 2024 las organizaciones obligadas a regirse por dicha directiva deberán cumplir requisitos referidos a:

  • evaluación, gestión de riesgos;
  • controles y registro;
  • protocolos de notificación, respuesta e informes sobre incidentes;
  • garantía en la continuidad de las actividades;
  • aplicación de medidas de seguridad;
  • concienciación, dirección y supervisión de la ciberseguridad;
  • responsabilidad.

La Directiva NIS2 establece dos categorías principales de entidades sujetas a sus requisitos de ciberseguridad:

Entidades esenciales

  • Operadores en los sectores de la energía, el transporte, la banca, las infraestructuras de los mercados financieros, la sanidad, el agua potable, las aguas residuales y las infraestructuras digitales.
  • Proveedores de redes y servicios públicos de comunicaciones electrónicas.
  • Proveedores de servicios de confianza cualificados y registros de nombres de dominio de primer nivel (TLD).
  • Entidades de la administración pública a nivel del gobierno central.
  • Entidades designadas como «entidades esenciales» en virtud de la Directiva sobre la capacidad de recuperación de las entidades esenciales (CER) de la UE.

Entidades importantes

  • Proveedores de servicios postales y de mensajería.
  • Entidades de gestión de residuos.
  • Fabricantes de productos químicos, alimentos, dispositivos médicos, equipos eléctricos y otros productos.
  • Proveedores de servicios digitales como mercados en línea, motores de búsqueda y plataformas de medios sociales.
  • Organizaciones de investigación (excluidas las instituciones educativas).

Se espera, con este cumplimiento normativo, alcanzar niveles óptimos de seguridad y solventar los fallos detectados desde la directiva NIS de 2016.

Compartimos conocimiento y experiencia en software cloud computing multitenant y gestión de negocio
elmejorerpcloud.com
< Volver