
La directiva NIS2 de la UE exige fortalecer la ciberseguridad en toda la UE y ahora está en vigor en todos los estados miembros. Únase a mí en esta serie de blogs de tres partes donde explicaré qué es, lo ayudaré a comprender si es adecuado para su empresa y cómo lograr el cumplimiento de NIS2.
En esta primera parte te explicaré qué es NIS2, en qué se diferencia de su antecesor NIS y su aplicabilidad para que puedas entenderlo y sacar conclusiones sobre si es relevante para tu empresa.
La Directiva de la UE 2022/2555 o Directiva de redes y sistemas de información (comúnmente conocida como NIS2 o EU NIS2) es una nueva regulación de la UE que se aplica a todos los estados miembros de la UE y tiene como objetivo lograr un nivel común de alta ciberseguridad. El reglamento actualiza la anterior Directiva de redes y sistemas de información (NIS o NIS1) de 2016 y requiere que los estados miembros adopten y hagan cumplir estrictamente requisitos de ciberseguridad más estrictos para las entidades que brindan servicios críticos en la UE.
A menos que su empresa se considere una pequeña o microentidad (es decir, con menos de 50 empleados o menos de 10 millones de euros de ingresos) y no opere en una industria clave (consulte la tabla a continuación), este artículo y el resto de esta serie son para usted. .
Tabla 1: Lista de departamentos dentro del alcance de NIS2
EU NIS2 es una regulación muy amplia y compleja, por lo que en este artículo exploraremos con más detalle la aplicabilidad y los requisitos específicos de NIS2 para las organizaciones.
En general, EU NIS2 se aplica a todas las entidades públicas y privadas, medianas o grandes, que operan en sectores clave que brindan servicios o actividades en el mercado de la UE. Incluso si no tiene una oficina en la UE, si alguno de sus clientes tiene su sede en la UE, usted está dentro del alcance.
El alcance de EU NIS2 está cubierto en el Anexo I y el Anexo II instruir. El Anexo Uno enumera los sectores altamente críticos y el Anexo Dos cubre otros sectores considerados críticos (lo que también incluiría a su empresa en el alcance). La tabla proporcionada en la sección anterior (Tabla 1) le brinda una lista de sectores, pero también debe combinarla con la tabla de límites de tamaño a continuación (Tabla 2) para obtener una imagen completa de la aplicabilidad:
Tabla 2: Categorías de tamaño NIS2 y límites superiores
*Definición basada en las recomendaciones de la UE para las PYME
Los desafíos de determinación del alcance de EU NIS2 a menudo se pueden resolver utilizando las dos tablas proporcionadas, pero hay algunos factores a considerar:
- Las micro y pequeñas entidades, independientemente de la industria, están excluidas del alcance, excepto los proveedores de servicios de confianza calificados, los registros de dominios TLD y los proveedores de servicios DNS.
- Si ya está sujeto a otras directivas de la UE o directivas/regulaciones sectoriales específicas, estas tienen prioridad (algunas personas las llaman ley especial Principio: por ejemplo, si está dentro del alcance de DORA, tiene prioridad sobre NIS2).
- La aplicabilidad siempre se aplica a la legislación de los Estados miembros (o a la transposición de una directiva) y no a la directiva en sí.
Notas sobre entidades básicas e importantes.
Las entidades dentro del alcance de EU NIS2 se pueden dividir a su vez en entidades básicas y entidades significativas según la importancia y el tamaño del sector. Los requisitos son los mismos para ambos tipos, siendo la principal diferencia entre entidades esenciales y entidades significativas el grado de supervisión por parte de las autoridades. Las entidades importantes se regulan de forma proactiva, mientras que las entidades importantes se regulan de forma pasiva (por ejemplo, sólo después de que ocurre un evento).
Desde la publicación de la primera Directiva NIS de la UE en 2016, los mercados tecnológicos y digitales han seguido evolucionando. Pero también introduce algunos cambios y mejoras, como por ejemplo:
- Gama más amplia (7 sectores en NIS1 x 16 sectores en NIS2)
- Obligaciones adicionales (requisitos mínimos)
- Requisitos más estrictos (como ventanas de notificación de eventos más pequeñas)
- Responsabilidad personal del órgano rector
- Aumento de multas administrativas
La directiva NIS2 de la UE entra en vigor el 16 de enero de 2023.
Con esto concluye el primer artículo de esta serie. Espero que le ayude a comprender y resolver la cuestión de si NIS2 puede funcionar para usted. Estén atentos al segundo artículo de esta serie, donde entraré en detalles sobre estos requisitos y le permitiré comprender cómo traducirlos en acciones y controles de la empresa para facilitar su proceso de cumplimiento.
Cómo Canonical puede ayudarle a lograr el cumplimiento de la ciberseguridad NIS2
Canonical se compromete a ayudar a las organizaciones a lograr el cumplimiento de NIS2 de la UE. Estamos comprometidos a proporcionar Código abierto confiable Esto permite a las organizaciones poner la seguridad en el centro de su pila. Con nuestra suscripción integral de seguridad y soporte a Ubuntu Pro, las organizaciones obtienen hasta 12 años de mantenimiento de seguridad extendido para más de 36,000 paquetes, sin importar dónde usen Ubuntu en la pila. Ubuntu Pro también incluye herramientas de automatización de parches y auditoría de cumplimiento, como Landscape y Livepatch, así como acceso a funciones de cumplimiento y refuerzo.
Obtenga más información sobre Ubuntu Pro visitando nuestra página dedicada, o Contacta con nuestro equipo Analice cómo podemos ayudarle a satisfacer sus necesidades.
¡Gracias por leer! A continuación encontrará más recursos sobre las regulaciones de la UE y cómo lograr seguridad y cumplimiento mediante métodos de refuerzo de la infraestructura.