La Directiva NIS2 es la legislación sobre ciberseguridad aplicable en toda la UE. NIS2 es una actualización de la Directiva sobre Seguridad de las Redes y los Sistemas Informáticos (NIS). Su objetivo es crear un nivel común de ciberseguridad en todos los Estados miembros de la Unión Europea. Al igual que el Reglamento General de Protección de Datos (GDPR), la NIS2 trata de armonizar las medidas y los enfoques en los Estados miembros de la UE para proteger la infraestructura digital, en este caso, las mejores prácticas para abordar la creciente avalancha de ciberataques.
Los ciberataques, como el ransomware y las filtraciones de datos, afectan cada vez más a organizaciones y empresas de toda la UE. ENISA (Agencia de la Unión Europea para la Seguridad Cibernética) ha publicado un informe sobre el panorama de amenazas en el que se advierte de que se están utilizando de forma eficaz nuevas formas de phishing y ataques de día cero dirigidos a organizaciones de toda la UE. Con un amplio rango de aplicación, la NIS2 tiene como objetivo mejorar la ciberseguridad en "entidades esenciales e importantes" de sectores críticos como la energía, el retail, el transporte, la banca, la salud, administración pública, etc. La Directiva también cubre la seguridad de la cadena de suministro y de los proveedores de servicios más allá de las fronteras.
NIS2 entró en vigor el 16 de enero de 2023. Los Estados miembros de la UE tienen hasta el 17 de octubre de 2024 para trasladar la Directiva NIS2 a la legislación nacional, lo que hará que sea aplicable.
NIS2 aplica la implementación de controles de seguridad integrales y estrictos para reducir el riesgo y evitar daños de ciberseguridad en los sistemas y los datos. Los requisitos abarcan una amplia gama de sistemas y recursos de TI, incluida la protección de los entornos de TI contra el ransomware, el phishing y el acceso no autorizado.
Las soluciones de seguridad de Akamai proporcionan inteligencia y protección integral para proteger la tecnología operativa (TO) de infraestructuras críticas y los sistemas de TI, así como los datos, frente a filtraciones, incidentes de seguridad, infecciones de malware y exposición accidental de datos. La plataforma de seguridad Akamai proporciona la seguridad dinámica necesaria para aplicar los principios Zero Trust a la protección de datos en una organización.
Akamai ayuda a sus equipos de seguridad a maximizar la eficacia y el ROI de sus inversiones en seguridad al ir más allá de la detección tradicional de terminales para proporcionar una potente solución Zero Trust para la seguridad y la privacidad de los datos.
Akamai ofrece:
El artículo 21 de la Directiva NIS2 destaca que las entidades cubiertas deben gestionar el riesgo cibernético utilizando "medidas técnicas y organizativas apropiadas y proporcionadas". Estas medidas son las siguientes:
NIS2 se aplica a todas las empresas que operen en la UE, incluidas "todas las entidades públicas y privadas del mercado interior que cumplan funciones importantes para la economía y la sociedad en su conjunto", las cuales "deben adoptar medidas adecuadas de ciberseguridad".
La Directiva divide las "entidades cubiertas" en dos tipos: entidades esenciales (EE) y entidades importantes (IE). La diferencia entre las dos clases con respecto al cumplimiento es que las entidades esenciales están sujetas a requisitos normativos más estrictos para supervisar el cumplimiento, las obligaciones de notificación de incidentes y las medidas de aplicación en los sistemas de información. Algunos ejemplos de cada tipo de entidad son:
Las entidades que operen en los siguientes sectores pueden considerarse esenciales (EE);
Las entidades que operen en los siguientes sectores pueden considerarse importantes (IE);
Algunos ejemplos de tres sectores afectados por NIS2 son:
Salud: la atención sanitaria es un servicio esencial según NIS2; por lo tanto, una entidad sanitaria debe cumplir los estrictos requisitos normativos de NIS2, incluidas las medidas de gestión de riesgos que mitigan los riesgos cibernéticos y evitan daños a los sistemas y los datos de TI. Además, la gestión de incidentes, la ciberseguridad de la cadena de suministro, la seguridad de la red, el control de acceso, y el cifrado de datos son requisitos fundamentales. Los servicios esenciales, como las organizaciones sanitarias, pueden utilizar soluciones Zero Trust para cumplir estos estrictos requisitos de seguridad. Zero Trust ayuda a reducir el tiempo de cumplimiento mediante el uso de menos recursos para lograr una seguridad sólida en redes y cadenas de suministro ampliadas.
Retailers: el informe Sophos de 2022 El estado del ransomware en el retail identifica una tendencia al alza de las amenazas dirigidas al sector del retail; el informe reveló que el 77 % de los retailers fueron víctimas de un ataque de ransomware en 2021. NIS2 identifica explícitamente "la producción, el procesamiento y la distribución de alimentos" y los "proveedores de mercados en línea" como "servicios importantes". Como tal, muchas operaciones de retail estarán sujetas al cumplimiento de NIS2. Al aplicar una seguridad de tipo Zero Trust, una empresa de retail cubre al completo su entorno de TI, con una visibilidad integral de los activos, el acceso y los flujos de red, y aplica exhaustivamente su política de seguridad. Con este enfoque integral, un retailer puede cubrir muchos requisitos para garantizar el cumplimiento de NIS2.
Proveedores externos y proveedores de servicios: Gartner predice que el 45 % de las organizaciones de todo el mundo sufrirán ataques en sus cadenas de suministro de software en 2025. La cadena de suministro es un objetivo perfecto para los hackers que intentan infiltrarse en una empresa. NIS2 gestiona este riesgo de ciberseguridad con estrictos requisitos de gestión de riesgos para la cadena de suministro de tecnologías clave de la información y la comunicación. NIS2 requiere un enfoque proactivo de la gestión de riesgos de la cadena de suministro, incluida la evaluación de la calidad de las prácticas de ciberseguridad de sus proveedores. Los proveedores externos deben utilizar un modelo de seguridad Zero Trust para garantizar que disponen de medidas de seguridad integrales que aseguren, por ejemplo, el acceso con privilegios mínimos.
NIS2 exige la aplicación de una serie de medidas de ciberseguridad y actividades de gestión de riesgos. Entre las medidas se incluyen el control de acceso y la aplicación de privilegios mínimos, una autenticación multifactorial sólida y medidas para disuadir, detectar o prevenir el código malicioso, como el ransomware. El conjunto de soluciones de Akamai ha sido diseñado para ofrecer una seguridad Zero Trust que ayude a los clientes a detener la propagación del ransomware y otros ataques avanzados. Akamai ayuda a proteger a las organizaciones frente a vulnerabilidades, como el aumento de los riesgos derivados del cloud computing y los equipos de trabajo dispersos a nivel geográfico.
NIS2 es una directiva de la UE que proporciona una legislación armonizada en toda la UE en materia de ciberseguridad. NIS2, o la Directiva (NIS)2 sobre Seguridad de las Redes y los Sistemas Informáticos, es una actualización de la Directiva NIS anterior.
NIS2 se aplica a organizaciones que operan en la Unión Europea en 11 sectores esenciales y siete sectores importantes. Conforme a NIS2, las entidades cubiertas deben cumplir las normativas para proteger sus sistemas de ciberataques y garantizar que cuentan con planes sólidos de respuesta ante incidentes. Se pueden encontrar más detalles sobre los sectores comprendidos en las dos categorías en el texto completo de la Directiva NIS2.
Al igual que el RGPD, el incumplimiento de NIS2 conlleva cuantiosas multas. Por ejemplo, el artículo 34 de la Directiva NIS2 establece las siguientes sanciones por incumplimiento:
Entidades esenciales: al menos hasta 10 millones de EUR o el 2 % de la facturación anual mundial
Entidades importantes: al menos hasta 7 millones de EUR o el 1,4 % de la facturación anual mundial
El artículo 23 de la Directiva NIS2 tiene estrictas normas de notificación de infracciones cibernéticas. El reglamento establece que una notificación de filtración debe realizarse "sin demoras indebidas". La notificación debe emitirse en un plazo de 24 horas desde que se tenga conocimiento de un incidente significativo ("alerta temprana"), y proporcionar una evaluación inicial en un plazo de 72 horas. Esta regla se aplica incluso si no hay ninguna indicación de datos personales expuestos.
El artículo 23 de NIS ha incluido un requisito para garantizar que la Directiva se revise periódicamente para tener en cuenta los aumentos repentinos de ciberataques, la transformación digital y las alteraciones ocasionadas para la pandemia y el teletrabajo; el resultado ha sido una Directiva actualizada, NIS2. Los cambios de la nueva versión incluyen un alcance ampliado de las entidades cubiertas, cobertura a todas las medianas y grandes empresas de los sectores cubiertos, y cobertura a las organizaciones más pequeñas de alto riesgo. NIS2 se centra en un enfoque de seguridad basado en el riesgo, que abarca áreas como la continuidad del negocio y la gestión de crisis, la gestión y divulgación de vulnerabilidades y la autenticación multifactorial.
Akamai potencia y protege la vida online. Las empresas líderes de todo el mundo eligen Akamai para crear, proteger y ofrecer sus experiencias digitales, ayudando así a millones de personas a vivir, trabajar y jugar cada día. Akamai Connected Cloud, plataforma de nube distribuida de forma masiva en el Edge, acerca las aplicaciones y las experiencias a los usuarios y mantiene las amenazas más alejadas.
