Los países de la UE tienen 21 meses para incorporar la nueva normativa en ciberseguridad NIS2 en su marco legislativo nacional con el fin de que las distintas organizaciones incrementen su nivel de protección contra los ciberataques. Con el fin de ayudar a su implementación, principalmente a las administraciones públicas, la empresa de ciberseguridad S21sec ha elaborado el informe «Directiva NIS2: Consultoría para Administraciones Públicas» en el que refleja las implicaciones de esta nueva normativa.
Este informe desarrolla un esquema de trabajo que agrupa diferentes herramientas, enfoques y estándares para el desarrollo de una herramienta de análisis, integrando varios estándares y marcos reconocidos (la propia NIS2 y otros como ISO/IEC 27001, NIST CSF, CIS 18, ISO/IEC 22301, etc.), para evaluar el nivel de madurez de ciberseguridad de los organismos institucionales. Esta estructura de trabajo se sustenta de cinco pilares (detección, identificación, respuesta, recuperación y protección) que posibilitan la definición de un objetivo adaptable según la evolución del panorama de amenazas y de los avances normativos.
La reciente legislación, que reemplaza la Directiva NIS aprobada en 2016 -todavía en vigor hasta la transposición de la nueva normativa en España-, moderniza y amplía el ámbito de aplicación de las normas de ciberseguridad a nuevos sectores y entidades que prestan servicios esenciales, mejorando así la resiliencia y la capacidad de respuesta y recuperación frente a los ciberataques de entidades tanto públicas como privadas. Entre los sectores sujetos a los cambios normativos de la Directiva destaca el sector sanitario, el de telecomunicaciones, el energético, el relativo a la infraestructura digital, el bancario y el financiero, entre otros.
Esta nueva normativa tendrá amplias implicaciones para el sector público, entre las que destacan la implementación de medidas de seguridad mejoradas para proteger información sensible, complementándose de una evaluación periódica de riesgos con el fin de informar sobre el estado de la ciberseguridad a las autoridades competentes designadas por cada Estado. Así mismo, se establece la obligación de gestionar la ciberseguridad en todo el ciclo de vida de las redes y sistemas de información, considerando el Internet de las cosas (IOT) como parte del alcance, entendido esto como el proceso de digitalización de todo tipo de dispositivos comunes.
Entre otros requerimientos, la normativa apela a que la Administración implemente medidas de continuidad del negocio para asegurarse de que sus actividades no se vean interrumpidas en caso de incidentes, acompañándose de políticas corporativas internas y de esfuerzos en la capacitación de los empleados en materia de ciberseguridad.
Según Joseba Enjuto, Head of Consulting de S21sec, compañía adquirida por Thales Group en el pasado año, uno de los pilares claves de NIS2 está relacionado con la seguridad de la cadena de suministro. “Los organismos no solamente deben poner el foco en su infraestructura, sino que también deben estar al tanto de la ciberseguridad de sus proveedores de servicios, dado que la cadena de suministro se configura como un vector cada vez más explotado para los ciberataques”, explica, para añadir que “la aplicación de NIS2 representa una oportunidad única dado que su aplicación permitirá a miles de entidades protegerse mejor ante un contexto en donde las amenazas son crecientes y las brechas cuentan cada vez con mayor cantidad de datos que son extraídos y utilizados maliciosamente”.