ondas contaval

General Digitalización - 06 mayo, 2024

Todo lo que necesitas saber sobre la NIS2

Ciberseguridad

La normativa NIS2 (Network and Information Systems Directive 2) es una legislación de la Unión Europea que busca fortalecer la ciberseguridad en sectores críticos, incluida la industria. Esta directiva establece estándares y requisitos para garantizar la seguridad de las redes y sistemas de información dentro de la UE.

  • Continuo incremento del número y gravedad de los ataques de ciberseguridad a entidades privadas y públicas.
  • Conflictos geopolíticos que conllevan incremento de ciberataques.
  • Aceleración de la transformación digital en todos los ámbitos de nuestra vida (personal y laboral), no siempre alineada con las salvaguardas necesarias.
  • La sociedad poco a poco va interiorizando la necesidad de la ciberseguridad.
  • Medidas de gobernanza: responsabilidad de la alta dirección en cuanto a la adopción de las medidas adecuadas y por el incumplimiento de las obligaciones de ciberseguridad.
  • Nuevo enfoque basado en la gestión de riesgos de ciberseguridad: adoptar medidas técnicas y organizativas (principio de proporcionalidad)
  • Marco interno de controles de ciberseguridad reforzados: política seguridad, ctrl acceso, backup, seguridad cadena de suministro,  …
  • Formación en ciberseguridad: para la Dirección y para el personal
  • Notificar los incidentes de ciberseguridad (CSIRT) (plazo 24/72h).
  • Régimen de supervisión más intrusivo y sanciones más severas.
Esquema aplicación NIS2
  • Sectores de Alta Criticidad (11 sectores): energía, banca, infraestructuras de mercados financieros, sector sanitario, transporte, infraestructura digital, aguas potables, aguas residuales, administración pública (con exclusión del poder judicial, parlamentos y bancos centrales), gestión de servicios TIC (Business to Business) y espacio.
  • Otros sectores críticos (7 sectores): investigación, química, alimentación, servicios postales, proveedores digitales, fabricación y gestión de residuos.
  • Empresas: Medianas y grandes empresas ( más de 250 empleados y con un volumen de facturación anual de 50 millones de euros en adelante)
  • Administración: Todas las administraciones públicas( excepto: Defensa o seguridad nacional, la seguridad pública, policía, poder judicial y los parlamentos y los bancos centrales).

Para la industria, la NIS2 implica una serie de obligaciones y medidas destinadas a proteger la infraestructura crítica contra ciberataques y garantizar la continuidad de las operaciones. Algunos de los aspectos clave que las empresas de la industria deben tener en cuenta incluyen:

  1. Evaluación de riesgos: Las organizaciones deben realizar evaluaciones de riesgos de seguridad cibernética para identificar posibles amenazas y vulnerabilidades en sus sistemas.
  2. Políticas y procedimientos en gestión de la seguridad con medidas de:
    • Formación en ciberseguridad
    • Gestión de archivos
    • Integridad del sistema y bastionado
    • Gestión de versiones
    • Gestión de vulnerabilidades y Parches
  3. Notificación de incidentes: Las empresas deben informar a las autoridades competentes sobre incidentes de seguridad cibernética significativos que afecten a sus sistemas, lo que permite una respuesta coordinada y eficaz.
  4. Cooperación y coordinación: La NIS2 promueve la cooperación entre las empresas del sector industrial, las autoridades nacionales y otros actores relevantes para compartir información sobre amenazas y buenas prácticas de seguridad cibernética.
  5. Supervisión y cumplimiento: Las autoridades nacionales son responsables de supervisar el cumplimiento de la NIS2 por parte de las empresas de la industria y de imponer sanciones en caso de incumplimiento.
  6. Control de acceso en local y en remoto
  7. Seguridad de la red
    • Detección de anomalías
    • Cryptografia y cifrado
    • Seguridad IT/OT basada en Zero Trust
    • Seguridad perimetral de la integración IT/OT

  • Descubrimiento y gestión de activos:

    • Monitorización de la red.Descubrimiento automático de la topología.

    • Gestión de configuración de dispositivos.
  • Gestion de usuarios
    • Importar usuarios y grupos de Microsoft Active Directory al servidor UMC del componente de gestion de usuarios.
  • Detección basada en anomalías/intrusiones.

    • Supervisar el tráfico de la red, crear una línea de base de funcionamiento normal y detectar anomalías a partir de esa línea de base.

    • Los operadores pueden reaccionar rápidamente y atajar las amenazas en fase temprana.
  • Gestión de vulnerabilidades y parches:

    • Durante la fase de explotación y optimización, los sistemas deben actualizarse periódicamente.Diariamente se informa de nuevas vulnerabilidades en muchos sistemas.

    • Utilización del SAT, despliegue WSUS, NMS son soluciones que han de integrarse para posteriormente ser capaces de responder a los parches de seguridad existentes y que necesitan ser desplegados.
  • Comunicación cifrada para OT
    • Comunicación segura de última generación basada en TLS1 V1.3
  • Acceso remoto seguro o Zero Trust

A fecha de 17 de enero de 2023 comenzó el periodo de transposición de la Directiva NIS 2 por los Estados miembro de la UE, el cual finalizará el 17 de octubre de 2024.

De la misma forma, con fecha límite de 17 de enero de 2025, los Estados miembro deberán haber comunicado el régimen sancionador aplicable por incumplimiento y, para el 17 de abril de 2025 habrán elaborado una lista de entidades esenciales e importantes.

Compartir en

Noticias relacionadas


AGV
La importancia de los encoders en los AGV

Los encoders desempeñan un papel crucial en la automatización industrial, especialmente en los vehículos guiados automáticamente (AGV). Estos dispositivos miden la posición, velocidad y dirección […]

Monitor de aislamiento de seguridad
Conoce en detalle los monitores de aislamiento

Un monitor de aislamiento es un dispositivo que se utiliza para medir y monitorear el aislamiento entre los diferentes componentes eléctricos de un equipo o sistema. Estos dispositivos ayudan a […]

Switches
Conoce el poder de los Switches Industriales Gestionables con ERPS

El protocol Ethernet Ring Protection Switching, conocido como ERPS, es uno de los más populares en la industria a la hora de configurar e implementar […]