Los principales distribuidores de proveedores de servicios gestionados (MSP) no solo agregan herramientas de identidad a su mercado. Están redefiniendo los criterios de colaboración dentro de
La Directiva NIS2 es el marco actualizado de ciberseguridad de la Unión Europea, diseñado para mejorar la resiliencia cibernética en todos los sectores críticos. Basándose en su predecesora, la Directiva de Redes y Sistemas de Información (NIS), NIS2 amplía significativamente su alcance para incluir industrias como el cuidado de la salud, la manufactura, la energía, el transporte y los servicios gestionados. La NIS2 también introduce requisitos de ciberseguridad más estrictos, responsabilidad directa para la alta dirección y plazos definidos para la notificación de incidentes. Las organizaciones que operan dentro de la Unión Europea no solo deben entender estas obligaciones, sino también implementar medidas de seguridad concretas para cumplir con los requisitos de cumplimiento.
Conclusiones clave
- La NIS2 es el marco actualizado de ciberseguridad de la Unión Europea, que introduce requisitos más estrictos, una cobertura sectorial más amplia y una mayor responsabilidad ejecutiva para las organizaciones que operan en la Unión Europea.
- La NIS2 sustituyó a la NIS original porque el marco original no podía mantenerse al día con el ransomware moderno, los ataques a la cadena de suministro y las ciberamenazas avanzadas dirigidas a la infraestructura crítica.
- La NIS2 se aplica principalmente a organizaciones medianas y grandes que operan en sectores cubiertos; sin embargo, algunas entidades deben cumplir independientemente de su tamaño debido a la naturaleza crítica de sus servicios.
- El artículo 21 describe las siete medidas de seguridad fundamentales que deben aplicar las organizaciones, que abarcan desde la gestión de riesgos hasta la respuesta ante incidentes y la seguridad de la cadena de suministro.
- Las brechas comunes de cumplimiento de la NIS2 incluyen la aplicación inconsistente de autenticación multifactor (MFA), poca visibilidad de los proveedores y una débil gestión de acceso privilegiado (PAM).
- Las consecuencias del incumplimiento pueden incluir multas de hasta €10,000,000 o el 2 % de la facturación anual global (lo que sea mayor) para las entidades esenciales, junto con obligaciones de notificación dentro de las 24 horas, 72 horas y un mes después de un incidente significativo.
Por qué la NIS2 reemplazó a la Directiva NIS original
La Directiva NIS original abarcaba principalmente las infraestructuras críticas tradicionales y se centraba en la seguridad perimetral. No tenía obligaciones claras de notificación y se implementó de manera inconsistente en todos los estados miembros de la Unión Europea, lo que limitó su eficacia. La NIS2 amplía la cobertura a los sectores definidos en los Anexos I y II, introduce plazos más estrictos para la notificación de incidentes y otorga mayor responsabilidad a la dirección ejecutiva, incluyendo la responsabilidad personal en las implementaciones nacionales de algunos estados miembros. Este cambio representa un paso de los requisitos mínimos de seguridad a un enfoque más proactivo hacia la resiliencia cibernética.
¿Quiénes están obligados a cumplir con la NIS2?
La NIS2 clasifica las organizaciones en dos grupos principales: entidades esenciales y entidades importantes. Ambos deben cumplir con las obligaciones de ciberseguridad y de notificación relacionadas con la NIS2, aunque las entidades esenciales enfrentan una supervisión más exigente y sanciones potencialmente más severas.
En general, la NIS2 se aplica a organizaciones medianas y grandes que operan en sectores cubiertos. Según la definición de la UE, las medianas empresas son aquellas con 50 o más empleados y una facturación anual superior a €10 000 000 – ambos criterios se consideran en conjunto, no como alternativas. Los sectores cubiertos por la NIS2 abarcan diversas industrias, entre ellas el cuidado de la salud, la manufactura, los servicios financieros, la energía, el transporte, el agua, la infraestructura digital, el sector espacial y la gestión de residuos.
El tamaño de una organización no determina el alcance de la NIS2. Algunas entidades entran en el ámbito de aplicación si sus servicios se consideran fundamentales para la estabilidad social o económica. Para las organizaciones que operan en varios Estados miembros de la Unión Europea, la NIS2 se aplica a nivel nacional, por lo que los requisitos de cumplimiento pueden variar según cómo haya transpuesto cada país la NIS2 a su legislación nacional.
Siete medidas de seguridad que las organizaciones necesitan para el cumplimiento de la NIS2
El artículo 21 de la NIS2 establece las medidas de ciberseguridad que se espera que las organizaciones implementen. Las medidas de seguridad reflejan ampliamente cómo debería ser un programa de seguridad bien gestionado, pero muchas organizaciones tienen dificultades con la implementación debido a la extensa jerga legal de la directiva. Estas son las siete áreas principales que aborda el marco.
1. Gestión de riesgos
Bajo la NIS2, las organizaciones deben establecer un proceso continuo de gestión de riesgos en lugar de depender de evaluaciones puntuales. Las organizaciones deben identificar continuamente cuáles son sus vulnerabilidades de seguridad, evaluar los posibles daños que esos riesgos podrían causar y abordarlos de forma periódica. Esto implica realizar evaluaciones de riesgos frecuentes, mantener planes de mitigación documentados y supervisar continuamente la actividad para detectar nuevas amenazas. Por último, en toda organización debe haber una persona a la que se le exija rendir cuentas por cada riesgo identificado y que sea responsable de mitigarlo.
2. Capacidad de respuesta ante incidentes
La NIS2 exige a las organizaciones que dispongan de procedimientos formales de respuesta ante incidentes antes de que se produzca un incidente de seguridad, con el fin de evitar que se genere el caos durante el mismo. Esto significa contar con un plan documentado de respuesta ante incidentes con responsabilidades definidas y eliminar la ambigüedad sobre quién debe realizar ciertas tareas. Tan importante como crear planes claros es ponerlos a prueba. Por ejemplo, si se detecta ransomware en una parte de la red de una organización en plena noche, la diferencia entre contener el incidente y sufrir una interrupción grave del servicio puede depender de si un equipo ha ensayado el proceso.
3. Continuidad del negocio
La NIS2 espera que las organizaciones mantengan su resiliencia durante y después de los incidentes cibernéticos, lo que incluye los procesos de respaldo y recuperación, el almacenamiento de datos accesible en caso de que el sistema se vea comprometido y la capacidad de restaurar los sistemas en los plazos establecidos. La planificación de la recuperación ante desastres debe definir objetivos claros de tiempo de recuperación, que aborden cuánto tiempo, de manera realista, una organización puede permitirse sufrir una interrupción operativa. Las pruebas periódicas de resiliencia garantizan que esos planes funcionen en la práctica y, cuando resulte adecuado desde el punto de vista operativo, la redundancia en los sistemas e infraestructuras críticos agrega otra capa de protección. Un aspecto fundamental de la continuidad del negocio es la necesidad de proteger las credenciales y el acceso a los sistemas críticos, ya que la recuperación se complica considerablemente cuando las claves de la infraestructura se encuentran entre los activos que se han visto comprometidos.
4. Seguridad de la cadena de suministro
La NIS2 da un énfasis significativo a la gestión de riesgos de terceros. La NIS2 deja claro que las organizaciones son responsables de gestionar los riesgos que introduzcan vendedores, proveedores de servicios y suministradores. Dada la importancia de la visibilidad, las organizaciones deben saber qué terceros tienen acceso a los sistemas, qué nivel de acceso tienen y si los proveedores cuentan con controles de seguridad adecuados. Las evaluaciones de riesgo de proveedores, las revisiones de acceso y el monitoreo continuo deberían convertirse en procesos operativos estándar. Los ataques modernos a la cadena de suministro han demostrado que la exposición a terceros puede convertirse rápidamente en un grave riesgo para la organización.
5. Control de acceso y gestión de identidad
Las organizaciones deben poder controlar quién tiene acceso a sus sistemas y qué pueden hacer con ese acceso para reducir la superficie de ataque. Como parte de los requisitos fundamentales de la NIS2, el principio del privilegio mínimo (PoLP) debe guiar la forma en que se otorga el acceso, de modo que los usuarios y los sistemas solo tengan acceso a lo que sea necesario. Los controles de acceso basados en roles (RBAC) proporcionan la estructura necesaria para aplicar esto de forma coherente y a gran escala, y la gestión del ciclo de vida de los usuarios ayuda a abordar el problema de las cuentas inactivas o abandonadas, que pueden convertirse en vulnerabilidades de seguridad explotables en el futuro. Esto es especialmente importante para cuentas privilegiadas, ya que los administradores y las cuentas de servicio con acceso privilegiado son objetivos valiosos. PAM, junto con una sólida seguridad de credenciales en toda la organización, contribuye a garantizar que estas cuentas estén protegidas, supervisadas y auditadas.
6. Cifrado y criptografía
Incluso las organizaciones mejor preparadas pueden sufrir una filtración de datos, y el cifrado influye a la hora de determinar el alcance real de los daños que provoca dicha filtración. La NIS2 espera que las organizaciones cifren los datos tanto en reposo como en tránsito, protejan credenciales e información confidencial y utilicen estándares criptográficos seguros. Si bien la NIS2 no prescribe una arquitectura de cifrado específica, el cifrado de conocimiento cero va más allá de los requisitos mínimos y puede ofrecer una protección adicional significativa a las organizaciones que gestionan credenciales y datos sensibles. En un entorno de conocimiento cero, los datos se cifran y se descifran a nivel del dispositivo, lo que significa que ni siquiera el proveedor de servicios puede acceder a ellos.
7. MFA y autenticación segura
Dado que las credenciales comprometidas constituyen uno de los puntos de entrada más habituales para los ciberdelincuentes, la NIS2 exige a las organizaciones que implementen controles de autenticación sólidos en todos los sistemas y para todos los usuarios. Esto incluye la aplicación de la autenticación multifactor (MFA), que agrega una capa adicional de verificación que limita el impacto del robo de credenciales. Siempre que sea posible, las organizaciones deben habilitar métodos de autenticación sin contraseña resistentes al phishing para eliminar el riesgo de que los usuarios sean manipulados para compartir credenciales o aprobar instrucciones. Estas medidas de control dificultan considerablemente que los ciberdelincuentes obtengan acceso no autorizado y reducen de forma significativa el impacto de las credenciales comprometidas.
Las organizaciones que busquen pasos prácticos pueden explorar nuestra guía sobre cómo las organizaciones pueden prepararse eficazmente para la NIS2.
Deficiencias habituales en el cumplimiento de la NIS2 a las que se enfrentan las organizaciones
La mayoría de las organizaciones ya cuentan con algunos controles de seguridad, pero las deficiencias operativas suelen impedir el cumplimiento total, especialmente de la Directiva NIS2. No comprender la directiva ni cumplir sus requisitos puede suponer consecuencias para las organizaciones.
Aplicación incompleta de MFA
Muchas organizaciones despliegan MFA de forma inconsistente. Aunque las cuentas de usuario puedan estar protegidas, podrían seguir existiendo vulnerabilidades en los sistemas heredados o en el acceso a la VPN que aún dependen exclusivamente de contraseñas tradicionales. Una cobertura parcial de la MFA crea puntos de entrada que los ciberdelincuentes pueden aprovechar y socava los esfuerzos generales de seguridad debido a un acceso privilegiado o remoto no seguro.
Escasa visibilidad de los proveedores
Los requisitos de la cadena de suministro de la NIS2 ponen de manifiesto una realidad lamentable para muchas organizaciones: no tienen una idea clara de quién tiene acceso a sus entornos ni de los riesgos que plantean los terceros. El acceso de los proveedores suele estar sobredimensionado, pero rara vez se revisa. Sin una visibilidad completa, las organizaciones no pueden gestionar de forma eficaz los riesgos asociados a terceros en el marco de la NIS2.
Controles de acceso privilegiado débiles
Las cuentas privilegiadas son algunos de los activos de mayor riesgo en cualquier organización, pero los controles que las rodean suelen ser muy débiles. Las credenciales administrativas compartidas y los privilegios permanentes siguen siendo habituales, pero aumentan la superficie de ataque y el riesgo de uso indebido de las credenciales. La NIS2 exige una gestión más rigurosa en materia de acceso privilegiado, monitoreo de sesiones y auditoría.
Plazos para la notificación de incidentes relacionados con la NIS2
La NIS2 establece obligaciones de notificación estructuradas ante incidentes significativos de ciberseguridad. Se espera que las organizaciones sigan un proceso establecido de varias etapas desde el momento en que tengan conocimiento de un incidente significativo:
- En un plazo de 24 horas: envíe una alerta temprana a las autoridades nacionales pertinentes confirmando que se está produciendo un incidente significativo.
- En un plazo de 72 horas: proporcione una descripción más completa del incidente, incluyendo lo que se sabe sobre su naturaleza e impacto.
- En un plazo de un mes: presente un informe final en el que se proporcione un relato completo de lo ocurrido, cómo se gestionó y qué medidas se tomarán para evitar que vuelva a ocurrir.
Para cumplir con estos plazos, las organizaciones deben monitorear y registrar los incidentes de seguridad a medida que se producen, en lugar de tener que esforzarse por elaborar una cronología precisa de los hechos a posteriori. En definitiva, el cumplimiento de la NIS2 exige a las organizaciones que establezcan prácticas de ciberseguridad consolidadas, mejoren la resiliencia operativa y mantengan una visibilidad total de los usuarios y los sistemas para reducir los riesgos de seguridad.
Cómo Keeper puede ayudar a respaldar el cumplimiento de la NIS2
Cumplir con los estándares de cumplimiento de la NIS2 requiere una infraestructura de seguridad confiable que pueda aplicar controles de acceso granulares, proteger las credenciales y proporcionar visibilidad completa para administrar el riesgo a escala. La plataforma de seguridad de identidad de conocimiento cero de Keeper ayuda a las organizaciones a consolidar múltiples soluciones de seguridad, entre las que se incluyen la gestión de acceso privilegiado (PAM), la gestión de contraseñas, la gestión de secretos, la gestión de privilegios en endpoints y el acceso remoto seguro. Para abordar algunos de los requisitos más exigentes de la NIS2, Keeper ofrece funciones avanzadas como el modelo RBAC, la aplicación de la MFA, la auditoría de credenciales, el monitoreo de sesiones y la seguridad de confianza cero. Ya sea que esté comenzando a abordar las medidas de la NIS2 o que desee mejorar su postura de seguridad actual, Keeper ofrece a su organización la posibilidad de cumplir con confianza los requisitos de la NIS2.
Empiece hoy su prueba gratis de Keeper y fortalezca la preparación de su organización para cumplir con los requisitos de la NIS2
Preguntas frecuentes
¿Se aplica la NIS2 a compañías que no pertenecen a la Unión Europea?
La NIS2 puede aplicarse a organizaciones con sede fuera de la Unión Europea si prestan servicios a clientes o entidades dentro de la Unión Europea. Esto afecta principalmente a los proveedores de servicios en la nube, las empresas de SaaS y los operadores de servicios que se encuentran dentro del ámbito de aplicación de la NIS2 en cuanto a sectores cubiertos. Si su organización presta apoyo a clientes o infraestructuras de la Unión Europea, debe determinar si le son de aplicación las obligaciones de la NIS2.
¿Qué ocurre si una compañía no cumple con la NIS2?
El incumplimiento de la NIS2 tiene importantes consecuencias financieras, legales y sobre la reputación. En virtud de la NIS2, las entidades esenciales pueden enfrentarse a multas de hasta €10,000,000 o el 2 % de la facturación anual global (lo que sea mayor), mientras que las entidades importantes pueden enfrentarse a multas de hasta €7,000,000 o el 1.4 % de su facturación anual global (lo que sea mayor). Las autoridades también pueden imponer auditorías e incluso suspender temporalmente las operaciones.
¿La norma ISO 27001 es suficiente para el cumplimiento de la NIS2?
Si bien la ISO 27001 demuestra un firme compromiso con la seguridad de la información, no abarca todos los requisitos necesarios para el cumplimiento de la NIS2. La NIS2 introduce obligaciones específicas sobre los plazos de notificación de incidentes, la seguridad de la cadena de suministro y la responsabilidad de la gestión. La ISO 27001 puede contribuir a la preparación para la NIS2, pero las organizaciones suelen necesitar medidas de gobernanza adicionales para alcanzar un verdadero cumplimiento de la NIS2.