Estrategia de ciberseguridad NIS2

Dirección General y Gerencia

Sistemas Información

Autónomos

Emprendedores

PYMES

La Directiva NIS2, la segunda iteración de la Directiva de Seguridad de las Redes y de la Información, se basa en el hecho que todos los estados miembros tendrán que reportar los incidentes de seguridad que están sucediendo para tener una visión global a nivel europeo en ciberseguridad de manera que se pueda velar por la seguridad de las redes y sistemas de información en el territorio de la UE. Así mismo, esta normativa expone las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión Europea.

Fue publicada en septiembre de 2022 y se ha establecido un plazo para que los Estados miembros trasladen la directiva a su legislación que finaliza el 17 de enero de 2024. Una vez la legislación esté definida, durante el primer trimestre de 2025, los Estados tendrán que comunicar el régimen sancionador aplicable por incumplimiento a todas estas entidades que se vean afectadas.

La antigua Directiva NIS ya aplicaba a una amplia gama de sectores como por ejemplo el de la energía, banca, transporte o sector sanitario. Actualmente se ha ampliado a 18 sectores, los cuales se dividen en dos tipologías: Alta Criticidad que corresponden a entidades esenciales y otros sectores críticos.

• Alta Criticidad: Energía, Transporte, Espacio, Infraestructuras de mercados financieros, Sector Sanitario, Banca e Infraestructura digital
• Otros sectores críticos: Aguas potables, Administración Pública, Proveedores digitales, Alimentación, Investigación, Gestión de residuos, Aguas residuales, Gestión de servicios TIC (B2B), Servicios postales, Fabricación y Química

Dentro de estos sectores estarán exentas las microempresas, pequeñas y medianas empresas de menos de 250 personas, el volumen de negocios anual de las cuales no exceda los 50 M€ o el balance general anual de las cuales no exceda los 43 M€.

De todas formas, existe una exención dentro de este último requerimiento. Independientemente del tamaño, la Directiva será aplicada a aquellas empresas que den servicio de comunicaciones, dominios, redes, etc.

Los estados miembros tendrán como fecha límite el 17 de enero de 2025 para comunicar el régimen de sanciones aplicables por incumplimiento a la Comisión Europea. De todas formas, la NIS2 establece un marco de sanciones que serán efectivas, proporcionales y disuasivas teniendo en cuenta las circunstancias en cada caso particular.

Los estados miembros tomarán como referencia las siguientes cuantías en función del tipo de entidad:

• Para las entidades esenciales, las sanciones podrán ser, optándose por la de mayor cuantía, de hasta 10 M€ o de un máximo de un 2% del volumen de negocio anual total a nivel mundial del ejercicio financiero anterior
• Para las entidades importantes, las sanciones podrán ser, optándose por la de mayor cuantía, de hasta 7 M€ o de un máximo de un 1,4% del volumen de negocio anual total a nivel mundial del ejercicio financiero anterior

Además de las sanciones económicas, la NIS2 también contempla la posibilidad de otras medidas correctivas, como la supervisión continua, auditorías de seguridad y la imposición de medidas específicas para abordar las deficiencias identificadas en los sistemas de ciberseguridad.

La nueva Directiva NIS2 obliga a las compañías a notificar los incidentes de seguridad al CSIRT asignado de referencia, o a la autoridad competente asignada.

¿Qué hay que notificar?

Cualquier incidente que tenga un impacto significativo, es decir, que suponga una parada en la producción y provoque una discontinuidad del negocio, y que tenga un impacto reputacional o económico dentro de la compañía.

¿Cómo hay que notificarlo?

Una vez se haya detectado el incidente, la notificación tendrá que realizarse dentro de las primeras 24h y al cabo de 72h se deberá actualizar la evolución de la resolución del incidente de seguridad exponiendo la gravedad, impacto y cuáles son los indicadores de compromiso identificados.

Finalmente, en el plazo de un mes se deberá realizar un informe final con detalle del incidente y las medidas adoptadas para resolverlo.

KIT CONSULTING

Kit Consulting es el programa de ayudas del Gobierno de España que permite a pymes como la tuya diseñar la hoja de ruta para su transformación digital.

Se trata de un Bono de Asesoramiento Digital dotado de una cuantía que tendrás que emplear en la contratación de los servicios de asesoramiento. La cuantía mínima son 12.000€ y la máxima hasta 24.000€, varía en función del tamaño que tenga tu empresa.

• Servicio de Asesoramiento en Ciberseguridad (básico) 6.000€
  El principal objetivo de este servicio es dotarte de un plan básico de ciberseguridad adaptado a las necesidades específicas de tu pyme. También, de realizar un cas de uso adaptado. Se busca aplicar la documentación básica de su Sistema de Gestión de Seguridad de la Información (SGSI) según ISO 27001 y ENS (categoría media-alta).
• Servicio de Asesoramiento en Ciberseguridad (avanzado) 6.000€
  Podrás solicitar este Servicio de Asesoramiento si ya cuentas con una protección de seguridad básica y un plan de ciberseguridad, pero quieres conocer sistemas de protección más avanzados.

KIT DIGITAL

Kit Digital es una iniciativa del Gobierno de España, el objetivo de la cual es subvencionar la implantación de soluciones digitales disponibles en el mercado para conseguir un avance significativo en el nivel de madurez digital.

• Ciberseguretat – Importe máximo 29.000€
  El objetivo de esta solución es proporcionar seguridad básica y avanzada para los dispositivos de tus empleados.
• Servei de Ciberseguretat Gestionada – Importe máximo 29.000€
  El principal objetivo de esta categoría es proporcionarte un servicio que combine técnicas de EDR (Endpoint Detection and Response) y MDR (Managed Detection and Response) para detectar incidentes de ciberseguridad en tiempo real y abordarlos de la forma más rápida y eficaz posible.