¿Necesita Cloud Computing? Empiece ahora

¿A qué hace referencia NIS2?

¿Qué es la Directiva NIS2?

La Directiva NIS2 es la legislación sobre ciberseguridad aplicable en toda la UE. NIS2 es una actualización de la Directiva sobre Seguridad de las Redes y los Sistemas Informáticos (NIS). Su objetivo es crear un nivel común de ciberseguridad en todos los Estados miembros de la Unión Europea. Al igual que el Reglamento General de Protección de Datos (GDPR), la NIS2 trata de armonizar las medidas y los enfoques en los Estados miembros de la UE para proteger la infraestructura digital, en este caso, las mejores prácticas para abordar la creciente avalancha de ciberataques.

Antecedentes de cumplimiento de NIS2

Los ciberataques, como el ransomware y las filtraciones de datos, afectan cada vez más a organizaciones y empresas de toda la UE. ENISA (Agencia de la Unión Europea para la Seguridad Cibernética) ha publicado un informe sobre el panorama de amenazas en el que se advierte de que se están utilizando de forma eficaz nuevas formas de phishing y ataques de día cero dirigidos a organizaciones de toda la UE. Con un amplio rango de aplicación, la NIS2 tiene como objetivo mejorar la ciberseguridad en "entidades esenciales e importantes" de sectores críticos como la energía, el retail, el transporte, la banca, la salud, administración pública, etc. La Directiva también cubre la seguridad de la cadena de suministro y de los proveedores de servicios más allá de las fronteras.

NIS2 entró en vigor el 16 de enero de 2023. Los Estados miembros de la UE tienen hasta el 17 de octubre de 2024 para trasladar la Directiva NIS2 a la legislación nacional, lo que hará que sea aplicable.

Cómo pueden ayudar las soluciones de Akamai a las organizaciones

NIS2 aplica la implementación de controles de seguridad integrales y estrictos para reducir el riesgo y evitar daños de ciberseguridad en los sistemas y los datos. Los requisitos abarcan una amplia gama de sistemas y recursos de TI, incluida la protección de los entornos de TI contra el ransomware, el phishing y el acceso no autorizado.

Las soluciones de seguridad de Akamai proporcionan inteligencia y protección integral para proteger la tecnología operativa (TO) de infraestructuras críticas y los sistemas de TI, así como los datos, frente a filtraciones, incidentes de seguridad, infecciones de malware y exposición accidental de datos. La plataforma de seguridad Akamai proporciona la seguridad dinámica necesaria para aplicar los principios Zero Trust a la protección de datos en una organización.

Akamai ayuda a sus equipos de seguridad a maximizar la eficacia y el ROI de sus inversiones en seguridad al ir más allá de la detección tradicional de terminales para proporcionar una potente solución Zero Trust para la seguridad y la privacidad de los datos.

Akamai ofrece:

  • Una plataforma de seguridad global que aplica la seguridad Zero Trust con una cobertura completa de sus entornos de TI, IoT y TO
  • Gran visibilidad de sus flujos de red, accesos y recursos
  • Aplicación detallada de la política de seguridad

Medidas de ciberseguridad requeridas por NIS2

El artículo 21 de la Directiva NIS2 destaca que las entidades cubiertas deben gestionar el riesgo cibernético utilizando "medidas técnicas y organizativas apropiadas y proporcionadas". Estas medidas son las siguientes:

  • Análisis de riesgos y políticas de seguridad de la información
  • Gestión exhaustiva de incidentes
  • Planificación de crisis y de la continuidad del negocio
  • Sólida seguridad de la cadena de suministro
  • Seguridad de red empresarial
  • Gestión y divulgación de vulnerabilidades
  • Políticas y procedimientos que evalúan la eficacia de la gestión de riesgos de ciberseguridad
  • Uso de criptografía y cifrado
  • Uso de la autenticación multifactor

¿Cómo afecta NIS2 a su organización?

NIS2 se aplica a todas las empresas que operen en la UE, incluidas "todas las entidades públicas y privadas del mercado interior que cumplan funciones importantes para la economía y la sociedad en su conjunto", las cuales "deben adoptar medidas adecuadas de ciberseguridad".

La Directiva divide las "entidades cubiertas" en dos tipos: entidades esenciales (EE) y entidades importantes (IE). La diferencia entre las dos clases con respecto al cumplimiento es que las entidades esenciales están sujetas a requisitos normativos más estrictos para supervisar el cumplimiento, las obligaciones de notificación de incidentes y las medidas de aplicación en los sistemas de información. Algunos ejemplos de cada tipo de entidad son:

Las entidades que operen en los siguientes sectores pueden considerarse esenciales (EE);

  • Transporte
  • Energía
  • Banca
  • Salud
  • Agua

Las entidades que operen en los siguientes sectores pueden considerarse importantes (IE);

  • Servicios postales y de mensajería
  • Gestión de residuos
  • Producción y procesamiento de productos químicos
  • Comida
  • Proveedores digitales (motores de búsqueda, plataformas de redes sociales, etc.)

Algunos ejemplos de tres sectores afectados por NIS2 son:

Salud: la atención sanitaria es un servicio esencial según NIS2; por lo tanto, una entidad sanitaria debe cumplir los estrictos requisitos normativos de NIS2, incluidas las medidas de gestión de riesgos que mitigan los riesgos cibernéticos y evitan daños a los sistemas y los datos de TI. Además, la gestión de incidentes, la ciberseguridad de la cadena de suministro, la seguridad de la red, el control de acceso, y el cifrado de datos son requisitos fundamentales. Los servicios esenciales, como las organizaciones sanitarias, pueden utilizar soluciones Zero Trust para cumplir estos estrictos requisitos de seguridad. Zero Trust ayuda a reducir el tiempo de cumplimiento mediante el uso de menos recursos para lograr una seguridad sólida en redes y cadenas de suministro ampliadas.

Retailers: el informe Sophos de 2022 El estado del ransomware en el retail identifica una tendencia al alza de las amenazas dirigidas al sector del retail; el informe reveló que el 77 % de los retailers fueron víctimas de un ataque de ransomware en 2021. NIS2 identifica explícitamente "la producción, el procesamiento y la distribución de alimentos" y los "proveedores de mercados en línea" como "servicios importantes". Como tal, muchas operaciones de retail estarán sujetas al cumplimiento de NIS2. Al aplicar una seguridad de tipo Zero Trust, una empresa de retail cubre al completo su entorno de TI, con una visibilidad integral de los activos, el acceso y los flujos de red, y aplica exhaustivamente su política de seguridad. Con este enfoque integral, un retailer puede cubrir muchos requisitos para garantizar el cumplimiento de NIS2.

Proveedores externos y proveedores de servicios: Gartner predice que el 45 % de las organizaciones de todo el mundo sufrirán ataques en sus cadenas de suministro de software en 2025. La cadena de suministro es un objetivo perfecto para los hackers que intentan infiltrarse en una empresa. NIS2 gestiona este riesgo de ciberseguridad con estrictos requisitos de gestión de riesgos para la cadena de suministro de tecnologías clave de la información y la comunicación. NIS2 requiere un enfoque proactivo de la gestión de riesgos de la cadena de suministro, incluida la evaluación de la calidad de las prácticas de ciberseguridad de sus proveedores. Los proveedores externos deben utilizar un modelo de seguridad Zero Trust para garantizar que disponen de medidas de seguridad integrales que aseguren, por ejemplo, el acceso con privilegios mínimos.

Soluciones de Akamai

NIS2 exige la aplicación de una serie de medidas de ciberseguridad y actividades de gestión de riesgos. Entre las medidas se incluyen el control de acceso y la aplicación de privilegios mínimos, una autenticación multifactorial sólida y medidas para disuadir, detectar o prevenir el código malicioso, como el ransomware. El conjunto de soluciones de Akamai ha sido diseñado para ofrecer una seguridad Zero Trust que ayude a los clientes a detener la propagación del ransomware y otros ataques avanzados. Akamai ayuda a proteger a las organizaciones frente a vulnerabilidades, como el aumento de los riesgos derivados del cloud computing y los equipos de trabajo dispersos a nivel geográfico.

  • Protección de aplicaciones y API: evite los ataques DDoS y proteja los activos
  • Akamai Account Protector: identifique y bloquee de forma proactiva la actividad humana fraudulenta y la apropiación de cuentas basándose en el aprendizaje automático avanzado, el análisis de comportamiento y los estudios de la reputación
  • Acceso y autorización: la arquitectura Zero Trust simplifica el cumplimiento

Preguntas frecuentes

NIS2 es una directiva de la UE que proporciona una legislación armonizada en toda la UE en materia de ciberseguridad. NIS2, o la Directiva (NIS)2 sobre Seguridad de las Redes y los Sistemas Informáticos, es una actualización de la Directiva NIS anterior.

NIS2 se aplica a organizaciones que operan en la Unión Europea en 11 sectores esenciales y siete sectores importantes. Conforme a NIS2, las entidades cubiertas deben cumplir las normativas para proteger sus sistemas de ciberataques y garantizar que cuentan con planes sólidos de respuesta ante incidentes. Se pueden encontrar más detalles sobre los sectores comprendidos en las dos categorías en el texto completo de la Directiva NIS2.

Al igual que el RGPD, el incumplimiento de NIS2 conlleva cuantiosas multas. Por ejemplo, el artículo 34 de la Directiva NIS2 establece las siguientes sanciones por incumplimiento:

Entidades esenciales: al menos hasta 10 millones de EUR o el 2 % de la facturación anual mundial 
Entidades importantes: al menos hasta 7 millones de EUR o el 1,4 % de la facturación anual mundial

 El artículo 23 de la Directiva NIS2 tiene estrictas normas de notificación de infracciones cibernéticas. El reglamento establece que una notificación de filtración debe realizarse "sin demoras indebidas". La notificación debe emitirse en un plazo de 24 horas desde que se tenga conocimiento de un incidente significativo ("alerta temprana"), y proporcionar una evaluación inicial en un plazo de 72 horas. Esta regla se aplica incluso si no hay ninguna indicación de datos personales expuestos.

El artículo 23 de NIS ha incluido un requisito para garantizar que la Directiva se revise periódicamente para tener en cuenta los aumentos repentinos de ciberataques, la transformación digital y las alteraciones ocasionadas para la pandemia y el teletrabajo; el resultado ha sido una Directiva actualizada, NIS2. Los cambios de la nueva versión incluyen un alcance ampliado de las entidades cubiertas, cobertura a todas las medianas y grandes empresas de los sectores cubiertos, y cobertura a las organizaciones más pequeñas de alto riesgo. NIS2 se centra en un enfoque de seguridad basado en el riesgo, que abarca áreas como la continuidad del negocio y la gestión de crisis, la gestión y divulgación de vulnerabilidades y la autenticación multifactorial.

Por qué los clientes eligen Akamai

Akamai es la empresa de ciberseguridad y cloud computing que potencia y protege los negocios online. Nuestras soluciones de seguridad líderes en el mercado, nuestra inteligencia ante amenazas consolidada y nuestro equipo de operaciones globales proporcionan una defensa en profundidad para proteger los datos y las aplicaciones empresariales. Las soluciones integrales de cloud computing de Akamai garantizan el rendimiento y una buena relación calidad-precio en la plataforma más distribuida del mundo. Las grandes empresas confían en Akamai, ya que les ofrece una fiabilidad, una escalabilidad y una experiencia inigualables en el sector, idóneas para crecer con seguridad.

Descubra todas las soluciones de seguridad de Akamai