Cada vez dependemos más de la tecnología, y aunque eso es bueno en la mayoría de los casos porque supone una vida más fácil y práctica, bien es cierto que la ciberseguridad debe ser fuerte para que no se produzcan grandes incidentes.
Un claro ejemplo de las consecuencias de la vulnerabilidad de un sistema informático ha ocurrido hoy, con un bug que ha provocado que millones de ordenadores Windows fallen, generando el caos en aeropuertos, bancos y más empresas.
Ante esto, se necesitan leyes que obliguen a una mayor y mejor seguridad digital, y una referencia de esto es la Directiva NIS2, la cual fue diseñada para mejorar el nivel común de ciberseguridad en toda la Unión Europea.
Esta reemplaza a la directiva NIS original para abarcar más sectores y eliminar la distinción entre operadores de servicios esenciales y proveedores de servicios digitales.
Con esta normativa actualizada, las entidades se clasifican en dos categorías: esenciales e importantes. Aunque ambas deben cumplir con los mismos requisitos de ciberseguridad, las entidades esenciales estarán sujetas a una supervisión más estricta.
Concretamente, la NIS2 establece que estas entidades implementen medidas técnicas, operativas y organizativas para gestionar los riesgos de ciberseguridad para prevenir o, en el peor de los casos, minimizar el impacto de incidentes en los servicios que brindan dichas entidades.
Algunas de estas medidas son políticas de análisis de riesgos, manejo de incidentes, continuidad del negocio, seguridad de la cadena de suministro, mantenimiento de los sistemas informáticos, prácticas básicas de ciberhigiene y capacitación en ciberseguridad.
Seguramente que de esta lista de medidas te llame la atención el término "ciberhigiene", por lo que te lo vamos a explicar. Ciberhigiene se refiere a los hábitos diarios que ayudan a asegurar la seguridad digital, en este caso, de una empresa.
Algunas prácticas de ciberhigiene son la actualización regular, tanto del sistema operativo como de los programas que tenga; el uso de contraseñas fuertes y cambiarlas regularmente, usar autenticación en dos pasos, hacer copias de seguridad frecuentes o usar software de seguridad de primera calidad, entre otras.
Ahora bien, son los directivos de las entidades esenciales e importantes los que deben aprobar estas medidas y asegurarse de que se implementen realmente. En caso de que no fuese así, estos responderán como responsables, tal como indica el texto legal.
Por otro lado, en caso de que haya un incidente de seguridad significativo, las entidades deben notificar a las autoridades competentes dentro de las 24 horas de haberlo detectado, y se deberá realizar un informe completo dentro de las 72 horas y un informe final dentro del mes para documentar debidamente todo lo ocurrido.
Otro punto interesante de la NIS2 es que establece la creación de la Red Europea de Organización de Enlace de Crisis Cibernéticas, también llamada de forma más abreviada como EU-CyCLONe, para la gestión coordinada de incidentes cibernéticos a gran escala.
Además, también se indica que la ENISA, que es la Agencia de la Unión Europea para la Ciberseguridad, se encargará de desarrollar y mantener un registro europeo de vulnerabilidades para documentar y compartir información, beneficiando así a todos los Estados que conforman la Unión Europea.
Por otro lado, la NIS2 ha endurecido las sanciones por incumplimiento, en comparación con la NIS original. Las multas pueden llegar hasta el 10% del volumen de negocios anual global de la entidad. Asimismo, las autoridades nacionales tendrán más poder para supervisar y sancionar a las entidades que incumplan esta norma.
Los Estados miembros de la Unión Europea deben hacer lo que sea necesario para cumplir con la NIS2 antes del 17 de octubre de 2024. Además, deben crear una lista de entidades esenciales e importantes antes del 17 de abril de 2025 y actualizarla regularmente cada dos años.
La UE tiene la razón: La DMA se aplica a TikTok quiera o no
- Ver Comentarios