Directiva acerca de la seguridad de la red y los sistemas de información (Directiva NIS)

La Directiva acerca de la seguridad de la red y los sistemas de información (Directiva NIS) (UE) 2016/1148) busca lograr un alto nivel común de seguridad de la red y los sistemas de información en toda la UE. La fecha límite de adaptación de esta Directiva por parte de todos los Estados miembros de la UE fue el 9 de mayo de 2018.

Descarga la guía de cumplimiento
 

Alcance del cumplimiento de la Directiva NIS: ¿quién debe cumplir con ella?

La Directiva NIS se aplica a:

  • Los operadores de servicios esenciales (OES) que estén establecidos en la UE.
  • Los proveedores del servicio digital (DSP) que ofrecen servicios a personas dentro de la UE1.

1La Directiva no se aplica a los DSP que se consideren pequeños o micro negocios (empresas que utilicen menos de 50 personas cuya facturación anual y/o estado de cuentas total sea inferior a 10 millones de euros).

 

La Directiva NIS requiere que los OES y los DSP:

  • Tomen las medidas técnicas y organizativas adecuadas para asegurar sus redes y los sistemas de información.
  • Tengan en cuenta los últimos desarrollos y los posibles riesgos a los que se enfrentan sus sistemas.
  • Lleven a cabo las medidas adecuadas para evitar incidentes de seguridad o, al menos, reducir el impacto para garantizar la continuidad del servicio.
  • Notifique a la autoridad competente relevante cualquier incidente de seguridad que tenga un impacto significativo en la continuidad del servicio sin dilaciones indebidas.

 

Consecuencias por no cumplir la Directiva NIS

Los Estados miembros deben establecer sus propias reglas en cuanto a multas financieras se refiere y deben tomar las medidas necesarias para garantizar que se apliquen. Es probable que los Estados apliquen sanciones severas similares a las del RGPD (Reglamento General de Protección de Datos).

El cumplimiento se controlará mediante auditorías rutinarias de los OES.

 

¿Qué es un operador de servicios esenciales (OES)?

La Directiva NIS busca reforzar la seguridad informática en todos los sectores que confíen en la tecnología de la información y las comunicaciones (ICT). Algunos negocios que operan en sectores críticos se les conocen como OES.

Los sectores afectados por la Directiva NIS son:

  • Agua
  • Energía
  • Infraestructura digital
  • Infraestructuras del mercado financiero y bancario
  • Salud
  • Transporte

 

¿Qué es un proveedor del servicio digital (DSP)?

La Directiva NIS se aplica a los siguientes DSP claves que normalmente proporcionan su servicio "por remuneración, a distancia, mediante medios electrónicos y a petición individual de un receptor de los servicios".

Los DSP se puede categorizar como las siguientes organizaciones:

  • Motores de búsqueda.
  • Servicios de computación en la nube.
  • Mercados online.

 

Requisitos de cumplimiento específicos para los DSP

La Directiva indica que los DSP "quedan libres de tomar medidas técnicas y organizativas que consideren adecuadas y proporcionadas para gestionar los riesgos", siempre que dichas medidas proporcionen un "nivel de seguridad adecuado" y de factor en los requisitos de la Directiva NIS.

Los DSP son necesarios para garantizar un nivel de seguridad adecuado al riesgo planteado ya que ofrecen servicios cubiertos, teniendo en cuenta los siguientes elementos:

  • Instalaciones y sistemas de seguridad
  • Gestión de incidentes
  • Gestión de la continuidad empresarial
  • Control, auditoría y pruebas
  • Cumplimiento con las normas internacionales

Reglamentación de la aplicación de la Comisión para los DSP

Un Reglamento de aplicación proporciona más claridad para los DSP acerca de cómo se espera que cumplan con la Directiva NIS.

Además de las medidas de la seguridad de la información y de la continuidad empresarial, los DSP tienen que establecer unas medidas de respuestas ante incidentes basadas en una evaluación de la gravedad del incidente.

El Reglamento de aplicación se empezó a aplicar en toda la Unión Europea el 10 de mayo de 2018.

Infórmate sobre nuestro curso de formación de gestión de respuestas ante incidentes

 

¿Qué hay que hacer para cumplir con la Directiva NIS?

El mejor enfoque para lograr el cumplimiento de esta Directiva es llevar a cabo un programa de resistencia informática que incorpore lo siguiente:

  • Defensas de seguridad informática resistentes.
  • Medidas preventivas adecuadas ante riesgos informáticos.
  • Herramientas y sistemas para tratar e informar violaciones de datos e incidentes.

 

Logro del cumplimiento mediante la resistencia informática

El Artículo 19 de la Directiva NIS fomenta el uso de especificaciones y normas europeas o aceptadas internacionalmente relevantes sobre la seguridad de la red y los sistemas de información.

El cumplimiento de la Directiva NIS se logrará adoptando un sistema de gestión integrado que incorpore las normas ISO 27001 e ISO 22301. Esto ayudará a su organización a lograr una postura aceptada internacionalmente acerca de la resistencia informática basándose en la buena práctica de la gestión de riesgos (exactamente como lo requiere la nueva legislación) y elimina la carga de múltiples auditorías de cumplimiento.

Descarga la guía de cumplimiento

 

¿Por qué IT Governance?

  • Proporcionamos una amplia gama de asesoramiento, formación y herramientas necesarias para el cumplimiento de la Directiva NIS.
  • Nuestra gran experiencia técnica y nuestro constante seguimiento de las normas internacionales del sistema de gestión de la información avalan nuestro conocimiento y saber hacer para ayudarte a cumplir cualquier proyecto empresarial de principio a fin.
  • Hemos gestionado cientos de proyectos mundiales con empresas de todos los sectores y tamaños.
  • Somos independientes de los distribuidores y los organismos de certificación y animamos a nuestros clientes a seleccionar lo que mejor se ajuste a sus necesidades y objetivos.
  • Tenemos equipos multidisciplinarios que pueden realizar pruebas de penetración rigurosas de los sistemas y redes, así como directores de proyectos para ampliar los proyectos de aplicación del cumplimiento de las normas. Además, el equipo directivo cuenta con gran experiencia ejecutiva para dar instrucciones a la junta de tu empresa y desarrollar una estrategia adecuada de mitigación de riesgos.
  • Proporcionamos asesoramiento práctico y trabajamos de acuerdo con las necesidades presupuestarias y organizativas de nuestro cliente. Ninguna empresa o proyecto es demasiado grande o pequeño.
  • Ofrecemos precios transparentes y claros.

 

arriba