La Directiva 2 de la Unión Europea sobre Redes y Sistemas de Información (NIS2) es un gran acuerdo para mejorar la posición de la UE en materia de ciberseguridad. La Directiva—que entró en vigor en enero de 2023 y cuya fecha límite de cumplimiento es el 18 de octubre de 2024—está diseñada para reforzar las ciberdefensas en sectores clave. Desde la energía a la sanidad, pasando por la banca o las infraestructuras digitales, si usted trabaja en estos sectores, la NIS2 no sólo es aconsejable, sino obligatoria, con multas de hasta 10 millones de euros o el 2% de los ingresos globales totales del año anterior y la responsabilidad personal de los altos ejecutivos. Aunque todo esto suena muy intimidante, la tecnología puede hacer gran parte del trabajo pesado para ayudar a cumplir la normativa.
¿Quién debe prepararse para la NIS2?
La Directiva NIS2, más amplia que su predecesora (NIS), abarca ahora 18 sectores, incluidas las empresas y organizaciones que prestan servicios esenciales para la buena marcha de la UE a nivel social y económico. Básicamente, si su organización es fundamental para el buen funcionamiento de la UE—energía, sanidad, finanzas, y muchos otros—está en la lista. Y esa lista de sectores se divide en dos categorías: muy críticos y otros críticos.
Comprender la siguiente capa: Entidades esenciales versus importantes
Si su organización se encuentra dentro del ámbito de aplicación de la directiva NIS2, es fundamental que comprenda la siguiente capa–otras dos categorías definidas en NIS2: entidades esenciales e importantes.
Ahora bien, se espera que tanto las entidades esenciales como las importantes cumplan las mismas normas de seguridad, pero la forma en que se les penaliza y supervisa varía, y normalmente se reduce al tamaño de su organización. Si está clasificada como esencial, estará sujeta a una supervisión proactiva para asegurarse de que cumple todos los requisitos de la Directiva. Si está clasificada como importante, sólo recibirá una supervisión reactiva, que sólo se pondrá en marcha si las autoridades reciben pruebas de incumplimiento.
¿Cree que está libre de cumplir la NIS2? Piénselo otra vez
¿No está directamente bajo el paraguas de NIS2? Es posible que no tenga que esforzarse por el cumplimiento, pero no se desentienda todavía. Como hemos visto con el RGPD/GDPR, es posible que otros países sigan su ejemplo y exijan a las organizaciones que apliquen controles básicos similares de ciber higiene y gestión de riesgos. Y no olvide el efecto dominó en la cadena de suministro. Dado que NIS2 abarca un amplio espectro, muchas organizaciones necesitarán que sus socios mejoren su seguridad. Así que puede que se vea arrastrado a la órbita del cumplimiento porque sus clientes lo están.
¿Cómo ayuda la plataforma SASE de Netskope a cumplir la Directiva NIS2?
En Netskope hemos realizado un mapeo detallado de la Directiva NIS2 para dejar claro cómo una estrategia Secure Access Service Edge (servicio de seguridad en el borde o SASE) para la seguridad y las redes le ayudará a prepararse para la fecha límite. Es una revisión honesta, así que vamos a arrancar la tirita rápidamente: Ninguna plataforma va a cubrir por completo las 10 medidas de seguridad mínimas exigidas por NIS2. Pero eso es lo que cabe esperar de cualquier normativa.
La buena noticia es que la plataforma Netskope One es líder mundial en SASE, con una arquitectura abierta diseñada para soportar el enfoque de defensa en profundidad que necesita para ofrecer prácticas esenciales de ciberhigiene, como los principios de confianza cero, las actualizaciones de software, la configuración de dispositivos, la segmentación de redes, la gestión de identidades y accesos, y la concienciación de los usuarios. Nuestra práctica guía de cumplimiento de la Directiva NIS2 desglosa exactamente qué elementos de NIS2 SASE ayudará a abordar—y son muchos—incluidas áreas clave como estas:
- Aplicación integral de políticas: Netskope ofrece herramientas para mapear, inventariar y proteger los sistemas de información críticos (SIC) en entornos web, en la nube y locales, incluidas evaluaciones de seguridad, auditorías y opciones de reparación automática para servicios en la nube.
- Gestión avanzada de incidentes: La plataforma Netskope One admite la gestión de incidentes con controles de mitigación para contener las amenazas y utiliza detecciones basadas y no basadas en firmas para evitar actividades maliciosas dentro de las redes y los sistemas SIC.
- Continuidad del negocio: Netskope garantiza la fiabilidad operativa con una disponibilidad del 99,999%, alineándose con los requisitos NIS2 para la gestión de la continuidad del negocio durante incidentes de seguridad.
- Seguridad de la cadena de suministro: La plataforma ayuda a identificar los riesgos de seguridad en la cadena de suministro, especialmente para los servicios desplegados a través de la nube, y evalúa la postura de seguridad de más de 80.000 proveedores de servicios en la nube a través de su Índice de Confianza en la Nube.
- Medidas de seguridad robustas: Con capacidades SASE, Netskope garantiza conexiones y accesos seguros a los sistemas de red e información, empleando principios de confianza cero y proporcionando controles tanto de amenazas como de protección de datos para salvaguardarse de los ciberataques.
El camino hacia el cumplimiento de NIS2
Con NIS2 poniendo el listón muy alto para los estándares de ciberseguridad, el tiempo corre para que las organizaciones alineen sus defensas. Pero mientras comienza a reexaminar las inversiones en seguridad de cara a la fecha límite del 18 de octubre de 2024, aproveche la oportunidad para eliminar elementos residuales y establecer un ecosistema de ciberseguridad en el que cada componente no sólo funcione bien, sino que también se complemente e integre entre sí.
Firmado: Rich Beckett, Senior Product Marketing Manager de Netskope
La entrada Entender el cumplimiento de NIS2 y cómo SASE puede ayudar es original de MuySeguridad. Seguridad informática.