Ante la entrada en vigor de la directiva NIS2 el próximo 17 de octubre, ReeVo Cloud & Cyber ofrece una serie de consejos y mejores prácticas para que las empresas puedan adoptar y cumplir con la nueva legislación.
La directiva NIS2 (Network and Information Security Directive) tiene como objetivo mejorar la ciberseguridad en la Unión Europea, al eliminar las divergencias tan pronunciadas entre los Estados miembros en la aplicación de la Directiva NIS (2016). Para ello, introduce requisitos más estrictos para la gestión de riesgos y la notificación de incidentes, con la aplicación de medidas orientadas a la prevención, defensa y respuesta adecuada frente a incidentes. Todo con el objetivo de reforzar la seguridad de las redes y de los sistemas de información en sectores críticos, ampliar el alcance de las obligaciones a más tipos de entidades y fomentar una mayor cooperación entre los Estados miembros.
“Aunque algunas grandes corporaciones y entidades del sector de infraestructura crítica ya están adoptando medidas para cumplir con los nuevos requisitos que incluye NIS2, otras empresas y, sobre todo, muchas pymes aún no están preparadas”, asegura Matteo Restelli, country manager España y miembro del Consejo de Administración de ReeVo Cloud & Cyber Security. “Claramente, necesitan una mayor concienciación y apoyo para entender e implementar las obligaciones que impone la directiva. La amplitud de la cartera de servicios de ReeVo y su integración ofrecen la respuesta óptima que las empresas necesitan”.
Ventajas de NIS2
Además de ampliar el ámbito de aplicación a más sectores como el de energía, transporte, banca, infraestructuras de los mercados financieros, sanidad, agua, infraestructuras digitales, gestión de servicios TIC, administración pública o el espacio; NIS2 introduce otras novedades.
Quizá el aspecto más relevante se aborda en el artículo 21 de la Directiva 2022/2555 de la UE, denominado “medidas de gestión de riesgos en materia de ciberseguridad”, que se basan en un enfoque multirriesgo destinado a proteger las redes y los sistemas de información y su entorno físico frente a incidentes.
Entre dichas medidas se incluyen: análisis de riesgos y políticas de seguridad de los sistemas de información, gestión de incidentes, continuidad de negocio, seguridad de la cadena de suministro y adquisición, desarrollo y mantenimiento de sistemas informáticos y de red, gestión y divulgación de vulnerabilidades.
Otros elementos contenidos en NIS2 tienen que ver con estrategias y procedimientos de evaluación de la eficacia de las medidas de gestión de riesgos de ciberseguridad; prácticas básicas de ciber-higiene y formación en ciberseguridad; y políticas y procedimientos relacionados con el uso del cifrado y la encriptación.
