Definición y Propósito

El objetivo principal de NIS2 es reforzar los requisitos de seguridad, ampliar el alcance de los sectores y servicios cubiertos y mejorar la cooperación entre los Estados miembros. Pretende garantizar que las instalaciones críticas e importantes tomen medidas apropiadas para gestionar los riesgos de ciberseguridad, informen sobre incidentes y aseguren sus redes y sistemas de información contra amenazas cibernéticas.

Órgano de Gobernanza

NIS2 está regulado por la Unión Europea, y su supervisión e implementación son gestionadas por las autoridades regulatorias nacionales de cada Estado miembro. La Agencia de la Unión Europea para la Ciberseguridad (ENISA) desempeña un papel importante en el apoyo a la implementación de la norma.

Última Actualización

NIS2 fue aprobado por el Parlamento Europeo en 2022. Su implementación y transposición al derecho nacional por parte de los Estados miembros de la UE está en curso, con un plazo definido para el cumplimiento total.

Aplicación a

NIS2 se aplica a una amplia gama de sectores que proporcionan servicios esenciales e importantes, incluidos:

• Energía
• Transporte
• Banca
• Infraestructuras del mercado financiero
• Sector sanitario
• Suministro y tratamiento de agua potable
• Infraestructura digital
• Administración pública
• Espacio

Además, incluye proveedores de servicios digitales como mercados en línea, motores de búsqueda en línea y servicios de computación en la nube.

Controles y Requisitos

NIS2 incluye varios requisitos importantes, entre ellos:

• Medidas de gestión de riesgos: Las entidades deben implementar medidas técnicas y organizativas adecuadas para gestionar los riesgos para la seguridad de las redes y los sistemas de información.
• Notificación de incidentes: Las entidades deben notificar a la autoridad nacional competente cualquier incidente significativo sin retraso injustificado.
• Políticas de seguridad: Adopción e implementación de políticas de seguridad integrales que cubran la gestión de riesgos, la gestión de incidentes, la continuidad del negocio y la gestión de crisis.
• Seguridad de la cadena de suministro: Medidas para evaluar y garantizar la seguridad de las cadenas de suministro y los proveedores de servicios.
• Cooperación e intercambio de información: Participación en redes de intercambio de información y cooperación con otras entidades y autoridades nacionales.
• Auditoría y conformidad: Auditorías y evaluaciones regulares para garantizar el cumplimiento de la directiva NIS2.

Para una lista completa de controles y requisitos, por favor lea la documentación oficial de la directiva NIS2.

Tipo de auditoría, frecuencia y duración

Las auditorías para cumplir con la directiva NIS2 generalmente incluyen evaluaciones por parte de autoridades regulatorias nacionales o auditores externos. Estas auditorías pueden incluir revisiones de políticas de ciberseguridad, procedimientos, planes de contingencia y controles técnicos. La frecuencia de las auditorías es establecida por las autoridades regulatorias nacionales, pero se esperan auditorías regulares para asegurar el cumplimiento continuo de los requisitos NIS2.

La duración de una auditoría depende del tamaño y la complejidad de la organización, el alcance de los servicios prestados y la profundidad de la auditoría.