Ya es un hecho. El mazo del Parlamento de la UE ha oscilado y se ha dado en la superficie de la mesa con un golpe decidido. La directiva sobre seguridad de las redes y de la información - NIS - se actualiza a NIS2, y en un plazo de 21 meses los estados miembros de la UE deben incorporar dicha directiva a su legislación nacional. ¿Qué significa esto y a quién afecta? ¿Dice la directiva algo específico sobre la concientización y la formación en materia de seguridad? ¿Afecta a empresas fuera de la UE? Nosotros te lo aclaramos.
La Directiva SRI, cuyo objetivo es lograr un nivel alto de todos los integrantes, en materia de seguridad en las redes y los sistemas de información dentro de la UE, se promulgó en 2018 a través de La ley de seguridad de la información. Desde su introducción, la directiva ha sido criticada por ser incompleta, poco específica e ineficaz, y por subestimar el aumento de las amenazas y la rápida evolución en este ámbito. Además, se ha destacado la necesidad de aumentar la cooperación y la coordinación entre los Estados miembros de la UE en este ámbito. Así pues, el 28 de noviembre de 2022 se decidió la adopción de la versión 2 de la NIS. La actualización amplía y afina la directiva original, con nuevas normas y mayores obligaciones para muchos más agentes que antes.
Una perspectiva de vigilancia en todos los riesgo.
La Directiva NIS2 establece salvaguardas tanto para el almacenamiento como para la transmisión de datos considerados esenciales para el mantenimiento de los servicios públicos. Aboga por una perspectiva de riesgos totales, con una mayor preparación ante peligros naturales y fallas técnicas, así como ante errores humanos y ciberdelincuencia. La directiva NIS2 también hace hincapié en la importancia de asegurar las cadenas de suministro, lo que implica mayores requisitos de seguridad para muchas más empresas, autoridades y organizaciones que antes. Además, los reguladores de la UE dispondrán de más medios para emitir advertencias y sanciones en caso de infracciones de la seguridad.
Más partes implicadas.
La Directiva SRI original se aplicaba a las actividades de los siguientes sectores:
- Energía
- Transporte
- Finanzas
- Sanidad
- Suministro y distribución de agua dulce
- Infraestructuras digitales
NIS2 sigue aplicándose a estos sectores, e incluye a los siguientes:
- Proveedores de redes o servicios públicos de comunicaciones electrónicas
- Alcantarillado y gestión de residuos
- Actividades espaciales
- Industria manufacturera
- Servicios postales
- Alimentación
Además de las partes directamente afectadas, aumentará el número de entidades indirectamente afectadas, ya que forman parte de cadenas de suministro críticas. Además, la directiva NIS2 abarca las actividades no comunitarias que prestan servicios a países de la UE.
Formación y sensibilización en ciberseguridad.
Otra novedad de la directiva NIS actualizada es la mayor exigencia de concientización en materia de seguridad entre los órganos de dirección. Ya no bastará con dejar las cuestiones de seguridad exclusivamente en manos de los departamentos informáticos de las empresas, pues la directiva establece que: "Los Estados miembros velarán por que los miembros del órgano de dirección sigan una formación específica, con carácter periódico, para adquirir los conocimientos y competencias suficientes para aprehender y evaluar los riesgos de ciberseguridad y las prácticas de gestión y su impacto en las operaciones de la entidad." Como parte de esta garantía, se destaca la necesidad de mensurabilidad; las políticas empresariales deben demostrar una priorización de la ciberseguridad, entre otras cosas mediante programas de formación pertinentes y acciones de sensibilización para todos los empleados. Así pues, la directiva aboga no sólo por una mayor atención a la ciberseguridad, sino también por una ampliación del concepto, mencionando no sólo medidas de protección técnicas y reactivas, sino también enfoques educativos y proactivos.
Nimblr y NIS2.
En DFSOFT partner de Nimblr para América Latina recibimos con satisfacción que la UE abogue por una mayor atención a la ciberseguridad, ya que las sociedades depende cada vez más de sistemas seguros para almacenar y transmitir datos. Al mismo tiempo, entendemos que la transición a NIS2 puede ser costosa en términos de tiempo y recursos. Además, con el cambio surge fácilmente la incertidumbre, con preguntas como "¿Cuál es un nivel adecuado de seguridad?" y "¿Cómo sabemos si las medidas que hemos tomado están teniendo efecto?". En cuanto a la formación y la educación, la solución automatizada de Nimblr es una forma excelente de que tu empresa cumpla los requisitos de formación de la Directiva NIS2. Nimblr Security Awareness Training garantiza tu transición a NIS2 mediante el acceso a información relevante y actualizada, simulaciones interactivas y sesiones de formación orientadas a la empresa.
Por ultimo las empresas en América Latina podemos pensar que es algo que no nos impacta, más sin embargo en las conecciones comerciales y economicas que vemos en hoy, las empresas que tenemos relación directa o indirectamente con clientes que dependen de una matriz o corporativo en Europa, nos vemos obligados a cumplir con ciertas normativas y Nimblr nos ayuda de forma fácil, rapida y sobre todo en costos muy accesibles.
Llamanos para resolver tus dudas al 221 687.7996 y si gustas agenda una videoconferencia para conocer Nimblr.
Escribenos de que temas quieres que hablemos o hagamos un tutorial,
o simplemente para compartir conocimiento hola@dfsoft.mx.