Empieza gratis
Mapa de socios

Guía para PYME sobre las normas de ciberseguridad NIS2 en la UE

agosto 4, 2024

Guía para PYME sobre las normas de ciberseguridad NIS2 en la UE

La ciberseguridad en la UE va camino de convertirse en un requisito legal. Esta semana, Bélgica ha redactado un proyecto de ley para convertir los requisitos de ciberseguridad en una legislación basada en la directiva NIS2. Al igual que los cinturones de seguridad en los coches, los esfuerzos en materia de ciberseguridad van camino de convertirse en precauciones obligatorias para las empresas grandes y pequeñas. En este blog, explicamos por qué la NIS2 es importante para las PYME.

1. ¿Qué es el SNI2 y por qué es importante para las PYME?

2. El argumento comercial para que las PYME adopten el SRI2

3. ¿Cómo se puede cumplir?

1. ¿Qué es el SNI2 y por qué es importante para las PYME?

– NIS2 es la actualización de la directiva de la UE sobre seguridad de las redes y de la información (SRI). Se trata del primer texto legislativo sobre ciberseguridad a escala de la UE. La NIS2 pretende que las empresas se tomen en serio la seguridad de su información a partir de octubre de 2024, a la espera de que los gobiernos nacionales la adopten. Las empresas tendrán que demostrar que sus TI e infraestructuras son seguras y resistentes al entorno de amenazas en línea. El ámbito de aplicación son 30 industrias «esenciales» e «importantes» y las medianas y grandes empresas que las componen.

– NIS2 es importante para las PYME porque, aunque en un principio está dirigido a las grandes industrias esenciales y clave, a las infraestructuras y a las grandes empresas, sus cadenas de suministro también empezarán a alinearse. Esto se debe a que las empresas más grandes están obligadas a supervisar la ciberseguridad de sus proveedores, incluidas las PYME.

– Los principales beneficios para las PYME que se centran en el SRI2 son que se reduce el riesgo cibernético al garantizar un mejor control de la ciberseguridad. En general, las mejoras en la seguridad conducen a mejoras generales de la calidad.

– El coste para las PYME de garantizar el cumplimiento se basa en políticas de referencia, procesos y una base para la supervisión continua de la vulnerabilidad y los controles de seguridad.

– Los costes aumentan con el riesgo cuando las personas, la tecnología y los procesos dejan lagunas a los ciberdelincuentes.

En detalle: las medidas de gestión de riesgos de ciberseguridad de EU NIS2 que deben considerarse incluyen

– Análisis de riesgos y políticas de seguridad de los sistemas de información;

– Gestión de incidentes;

– Continuidad empresarial, como gestión de copias de seguridad y recuperación de desastres, y gestión de crisis;

– La seguridad de la cadena de suministro, incluidos los aspectos relacionados con la seguridad de las relaciones entre cada entidad y sus proveedores directos o proveedores de servicios;

– Seguridad en la adquisición, el desarrollo y el mantenimiento de sistemas de red y de información, incluido el tratamiento y la divulgación de vulnerabilidades;

– Políticas y procedimientos para evaluar la eficacia de las medidas de gestión de riesgos de ciberseguridad;

– Prácticas básicas de ciberhigiene y formación en ciberseguridad;

– Políticas y procedimientos relativos al uso de la criptografía y, en su caso, del cifrado;

– Seguridad del personal, política de control de acceso y gestión de activos;

– El uso de soluciones de autenticación multifactor o autenticación continua, comunicaciones seguras de voz, vídeo y texto y sistemas de comunicación de emergencia seguros dentro de la entidad, si procede.

2. El argumento comercial de NIS2 para las PYME

Ventajas

– El mayor beneficio de NIS2 es, intencionadamente, la seguridad: de la reputación de una empresa, de sus ingresos y de la continuidad de sus recursos. Garantizar que las empresas han hecho lo esencial para mantenerse seguras todos los días para las personas, las TI y los procesos. Las empresas con poca seguridad corren el riesgo de quebrar tras un ciberataque grave.

– El cumplimiento de las normas dará acceso a más negocios en la UE. A medida que las empresas revisan sus cadenas de suministro, las PYME que son transparentes sobre sus normas pueden esperar más éxito. (En el Reino Unido, «Cyber Essentials» ha sido un programa de éxito porque todos los contratos gubernamentales requieren licitación)

– El cumplimiento se convertirá en algo esencial para muchas empresas en el futuro. Algunas grandes empresas ya han empezado a incluir este requisito en sus políticas de contratación, exigiendo a los proveedores que demuestren una seguridad básica (véase Cyber Trust in Austria).

– Creación de marca: como en el caso anterior, los Ciberfundamentos son ahora un distintivo reconocido de calidad en línea y de confianza de las empresas que demuestran que tienen sus riesgos cibernéticos bajo control.

– Además, los expertos en auditoría informática, entre ellos Charde Janse van Vuuren, de Schuiteman (Países Bajos), pueden ver el solapamiento en el trabajo para las normas NIS2 e ISA315.

Coste

– Riesgo de cumplimiento: la falta de alineación con las cadenas de suministro puede poner en peligro a las empresas, especialmente en el caso de las grandes empresas que deben cumplir con el NIS 2.

– Multas – Las empresas que están obligadas a cumplir la normativa pero no lo hacen se enfrentan a millones de euros en multas. Por ahora, no se trata de la mayoría de las PYME.

Oportunidades

-Superposición de

o El trabajo para ISA315 puede cumplir los requisitos de NIS2 en algunos casos

o El cumplimiento de los Fundamentos Cibernéticos también incluye algunos requisitos (no todos)

– Un claro panel de control de Lupasafe le muestra dónde cumple los requisitos clave para el SRI 2, incluida la seguridad de la red, las vulnerabilidades, la ciberhigiene y la formación, la gestión de activos y la autenticación multifactor.

– Una evaluación exhaustiva de la seguridad de la empresa e incluso de la cadena de suministro con el proyecto de ciberseguridad para PYME «CYSSME» de la UE. Éste acepta actualmente solicitudes de apoyo a la seguridad por parte de las PYME de la UE, permitiendo hasta 20.000 euros por empresa en apoyo a la ciberseguridad. Consulte www.cyssme.eu.

3. ¿Cómo se puede cumplir?

El panel de control de Lupasafe es una forma sencilla de comenzar con el cumplimiento de su NIS2. Muestra todas sus vulnerabilidades a través de las personas, las TI y los procesos. Esto significa que puede ver rápidamente todos los puntos de riesgo de su empresa, ya se trate de personas que trabajan desde casa, software en la nube que no se ha actualizado, contraseñas comprometidas o riesgos de suplantación de identidad.

Los países de la UE están poniendo en marcha normas específicas con las que alinearse.

Los Países Bajos han lanzado recientemente esta lista de control NIS2

Reserve una demostración de Lupasafe para ver cómo nuestro cuadro de mandos visualiza y le ayuda a gestionar NIS2, para usted, sus clientes y sus cadenas de suministro.

No incurra en multas como el 1/3 de las grandes empresas que aún no están preparadas para ello

Apéndice

Material complementario para apoyar la aplicación de los controles NIS2

  1. Directiva NIS2 Directiva original de la UE sobre NIS 2
  2. Guía de inicio rápido: Marco de ciberseguridad del NIST para pequeñas empresas
  3. Gestión de incidentes https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf
  4. Controles de seguridad ISO/IEC 27002:2013 Código de conducta para los controles de seguridad de la información
  5. Política de criptografía https://iso-docs.com/products/isms-cryptographic-policy
  6. Directrices para la continuidad de las actividades https://www.thebci.org/certification-training/good-practice-guidelines.html
  7. Riesgos de la cadena de suministro https://csrc.nist.gov/Projects/cyber-supply-chain-risk-management/publications

Empresa