NIS2 es una directiva europea que actualiza y amplía los requisitos de ciberseguridad establecidos por la primera Directiva NIS (Network and Information Security) de 2016. El principal objetivo de NIS2 es aumentar la resiliencia cibernética de las infraestructuras esenciales y garantizar una aplicación uniforme de las medidas de ciberseguridad en todos los Estados miembros de la Unión Europea.
La gestión de las entidades importantes debe tomar una serie de medidas específicas para cumplir con los requisitos de la Directiva NIS2. Estas medidas están destinadas a mejorar la ciberseguridad y gestionar eficazmente los riesgos asociados. Entre las medidas necesarias se incluyen:
Implementación de un marco de gestión de riesgos cibernéticos
La dirección debe adoptar un marco de gestión de riesgos cibernéticos que incluya evaluaciones periódicas de riesgos y políticas de seguridad para los sistemas informáticos. Este marco debe estar alineado con los requisitos de NIS2 y centrarse en la prevención, detección y respuesta a los incidentes de ciberseguridad.
Medidas de continuidad empresarial y gestión de crisis
Las entidades importantes deben contar con un plan sólido de continuidad empresarial y un plan de gestión de crisis para garantizar la continuidad operativa en caso de incidentes graves de ciberseguridad. Estos planes deben incluir procedimientos de recuperación de datos, estrategias de respaldo y planes de comunicación de emergencia.
Responsabilidad de la dirección en la implementación de medidas de seguridad
La dirección debe aprobar y supervisar las medidas de ciberseguridad adoptadas por la empresa. Esto incluye la supervisión de la implementación de políticas de seguridad y asegurar que las medidas de seguridad estén en línea con los requisitos de la directiva. En caso de incumplimiento, la dirección puede ser personalmente responsable y enfrentar sanciones severas, incluyendo la prohibición de ocupar cargos directivos.
Notificación de incidentes cibernéticos
Las entidades importantes deben establecer procedimientos claros para la notificación de incidentes cibernéticos, con la obligación de notificar a las autoridades nacionales competentes dentro de las 24 horas posteriores a la detección de un incidente grave y de proporcionar un informe completo en un plazo de 72 horas. Estos requisitos de notificación deben integrarse en el marco de gestión de incidentes.
Gestión de la seguridad en la cadena de suministro
Las entidades deben implementar medidas de seguridad para gestionar los riesgos asociados a la cadena de suministro, incluyendo la evaluación de proveedores y la implementación de políticas de seguridad para todos los socios. Es esencial que las entidades establezcan procesos para identificar vulnerabilidades en la cadena de suministro y garantizar el cumplimiento de los requisitos de NIS2 en toda la red de socios.
Asegurar la formación y concienciación
La dirección debe asegurarse de que el personal de la empresa reciba formación periódica en ciberseguridad y que se promuevan buenas prácticas de seguridad en la organización. Todas las personas con roles en la gestión de riesgos cibernéticos deben estar adecuadamente formadas para entender el impacto de las medidas de seguridad en las operaciones de la empresa.
Al implementar estas medidas, la gestión de las entidades importantes puede asegurar el cumplimiento con los requisitos de la Directiva NIS2 y reducir los riesgos asociados a la ciberseguridad.
Las entidades importantes (más detalles aquí: enlace) deben llevar a cabo auditorías de seguridad conforme a los requisitos de NIS2. La directiva establece que las autoridades nacionales pueden solicitar la implementación de una auditoría de seguridad para verificar el cumplimiento de estas entidades con las medidas de seguridad impuestas. La auditoría puede ser obligatoria en caso de sospechas de incumplimiento o como parte de verificaciones periódicas para asegurar que se cumplan las normas de ciberseguridad.
Las entidades importantes están sujetas a un régimen de supervisión ex post, lo que significa que la auditoría puede ser impuesta después de detectar irregularidades o en base a informes de incumplimiento. Sin embargo, para prevenir sanciones potenciales, se recomienda que la dirección lleve a cabo auditorías internas periódicas para asegurar el cumplimiento y para identificar posibles deficiencias con antelación.
Por lo tanto, la auditoría de seguridad representa una medida preventiva y correctiva importante para garantizar que las entidades importantes cumplan con los requisitos de la Directiva NIS2 y estén preparadas para responder eficazmente a los riesgos de ciberseguridad.
La auditoría de conformidad con NIS2 debe ser realizada por empresas especializadas en ciberseguridad y gestión de riesgos, que tengan experiencia en auditorías de seguridad y estén acreditadas para ofrecer dichos servicios. Estas empresas deben cumplir con ciertos criterios, como certificaciones en ciberseguridad y conformidad, y contar con personal con competencias relevantes.
Para elegir una empresa adecuada, las compañías deben verificar si el auditor está acreditado por las autoridades nacionales competentes o por instituciones regulatorias internacionales, como ENISA (Agencia de la Unión Europea para la Ciberseguridad) y otros organismos similares.
En Rumanía, la Dirección Nacional de Seguridad Cibernética (DNSC) es la autoridad competente responsable de supervisar la implementación de la Directiva NIS2. La DNSC se encarga de monitorizar y asegurar el cumplimiento de los requisitos de la directiva para todas las entidades esenciales e importantes que operan en Rumanía.
Para obtener más información o realizar consultas adicionales, no dude en ponerse en contacto con nosotros:
➡ Teléfono: (+4) 031 426 0745
📧 Correo electrónico: office@grecupartners.ro
Estamos aquí para ayudar y brindar apoyo legal para todas sus necesidades. Esperamos con interés hablar con usted.
Abogada Elena Grecu