Inicio > Servicios > NIS2: ¿una amenaza o una oportunidad para que las empresas maduren sus sistemas de ciberseguridad?

NIS2: ¿una amenaza o una oportunidad para que las empresas maduren sus sistemas de ciberseguridad?

En 2023, Europa experimentó un promedio de 1.557 ciberataques semanales por empresa, lo que supone un aumento del 86% en comparación con el año anterior. Y es que, a medida que la digitalización y la transformación digital de las empresas avanza, sus infraestructuras de TI y OT cada vez están más integradas, lo que aumenta considerablemente el campo en el que pueden actuar los ciberdelincuentes. Además, estos cada vez realizan ataques más sofisticados, integrando herramientas de Inteligencia Artificial, por lo que los riesgos cada vez son mayores. Por ese motivo, la Unión Europea ha lanzado la NIS2, que busca dar prioridad a la ciberseguridad.

 

La Directiva NIS2 se dirige principalmente a organizaciones esenciales para la cadena de suministro de productos críticos de infraestructura. En nuestro trabajo diario, en Grupo Aire nos estamos encontrando a menudo con empresas de todo tipo que tras la lectura de la normativa aún tienen dudas sobre la forma en la que tienen que aplicarla. El mensaje que tratamos de transmitirles es que tienen que ser consecuentes de que tienen que mejorar la gobernanza de su ciberseguridad, así como las medidas de gestión de riesgos y prepararse para las nuevas obligaciones que vienen derivadas de esta normativa y que incluye la presentación de informes.

También les transmitimos que deben utilizar marcos reconocidos internacionalmente, como la serie ISA/IEC 62443 para seguridad OT, para cumplir los requisitos de cumplimiento necesarios.

Multas y responsabilidad penal

La Directiva NIS2 supone un gran salto en obligaciones respecto a la Directiva NIS inicial. La UE ahora impondrá:

  • Sanciones financieras: similares a las previstas en la legislación GDPR, a organizaciones que no cumplan dentro del plazo establecido.
    • Entidades esenciales – (10M€) o (2% de la facturación anual total mundial)
    • Entidades importantes – (7M€) o (1,4% de la facturación anual total mundial)
  • Multas administrativas: las autoridades competentes pueden imponer multas administrativas por incumplimiento de obligaciones específicas en virtud de la directiva.
  • Medidas correctivas: además de las sanciones financieras, es posible que requieran a las entidades que implementen medidas correctivas específicas para abordar el incumplimiento identificado.
  • Responsabilidad por daños: las entidades que no cumplan con sus obligaciones según NIS 2 también pueden ser responsables de los daños causados ​​por su incumplimiento.

Además, habrá repercusiones para los ejecutivos de nivel C en organizaciones que no cumplen con la Directiva NIS2, incluidas posibles restricciones a los puestos que ocupan dentro de las juntas ejecutivas.
NIS2: ¿una amenaza o una oportunidad para que las empresas maduren sus sistemas de ciberseguridad?

Guía de mejores prácticas para aplicar la NIS2

Las empresas tendrán una serie de requisitos que incluyen tomar medidas en torno a la gestión operativa del riesgo cibernético, la higiene cibernética, la respuesta a incidentes, la notificación de incidentes y la seguridad de la cadena de suministro, la capacitación de los empleados, la implementación de protocolos y políticas de seguridad, la capacitación para la alta dirección, así como la contratación de Seguro cibernético para prevenir la responsabilidad personal de los miembros de la junta directiva y ejecutivos.

Cumplir con regulaciones complejas como la Directiva NIS2 puede ser un reto, pero tener un plan claro simplifica el proceso.

A continuación se muestra una guía de mejores prácticas para lograr el pleno cumplimiento de NIS2, describiendo los requisitos clave:

Paso 1: obtener apoyo de la alta dirección

A pesar de que el cumplimiento de la NIS2 es obligatorio, el apoyo activo de la alta dirección es crucial. Sin su compromiso, el proyecto puede ser lento, insuficientemente financiado y lleno de obstáculos. Es necesario convencer a la alta dirección sobre la importancia de centrarse en el cumplimiento de NIS2.

Paso 2: configurar la gestión de proyectos

El cumplimiento de NIS2 es demasiado complejo para que lo maneje una persona sin autoridad formal, como un administrador de TI. Es necesario un enfoque estructurado de gestión de proyectos, con pasos de implementación claros, hitos, resultados y responsabilidades.

Paso 3: realizar la formación inicial

NIS2 enfatiza la capacitación en seguridad. Al principio del proyecto, es necesario proporcionar capacitación para garantizar que todos entiendan la NIS2, qué se debe hacer y por qué. Esto facilitará un proyecto más fluido en el lanzamiento.

Paso 4: redactar una política de alto nivel sobre seguridad del sistema de información

Aunque NIS2 no lo exige específicamente, un documento de política de alto nivel es una best practice. En él define objetivos, roles, responsabilidades y métricas de éxito de ciberseguridad, garantizando que hay una dirección para el proyecto.

Paso 5: definir la metodología de gestión de riesgos

La gestión de riesgos es compleja y NIS2 tiene requisitos específicos. Una gestión de riesgos necesita un documento metodológico para garantizar el cumplimiento y aclarar cómo se deben gestionar los riesgos dentro de la empresa.

Paso 6: realizar “Risk Assessment and Treatment”

Identificar amenazas potenciales a los sistemas de información, enumerando activos, amenazas y vulnerabilidades relacionadas. Evaluar la probabilidad y gravedad de estos riesgos. Luego, desarrollar estrategias para mitigar los mayores riesgos, implementando las medidas de ciberseguridad definidas en el artículo 21.

Paso 7: redactar y aprobar el plan de tratamiento de riesgos

Crear un plan detallado para implementar medidas de ciberseguridad y obtener la aprobación de la dirección. El Plan de Tratamiento de Riesgos debe enumerar todas las actividades de ciberseguridad, procesos y tecnologías, así como responsables y plazos.

Paso 8: implementar medidas de ciberseguridad

Implementar las medidas de ciberseguridad necesarias basadas en los resultados de la evaluación de riesgos. Esto puede suponer nuevos procesos, actividades, tecnologías y crear diversas políticas de ciberseguridad y procedimientos.

Paso 9: configurar la seguridad de la cadena de suministro

Abordar los riesgos de seguridad relacionados con los proveedores evaluando sus vulnerabilidades, sus procedimientos de desarrollo de software, e inclusión de cláusulas de seguridad en los acuerdos. Monitorizar el estado de la seguridad regularmente.

Paso 10: configurar la evaluación de la eficacia de la ciberseguridad

La alta dirección debe supervisar la implementación de la ciberseguridad. Las best practices incluyen monitoreo continuo, auditorías internas periódicas y revisiones de la gerencia para identificar disconformidades y garantizar medidas efectivas de ciberseguridad.

Paso 11: configurar el informe de incidentes

Uno de los requisitos clave de NIS2 es notificar al INCIBE (National Cybersecurity Institute of Spain) y destinatarios del servicio sobre incidentes significativos. Las empresas deben prepararse para enviar alertas tempranas, incidentes, notificaciones, informes intermedios, informes finales e informes de progreso.

Paso 12: configure una capacitación continua en ciberseguridad

NIS2 requiere capacitación periódica en ciberseguridad para todos los empleados, incluidos los superiores. Es importante elegir temas y formatos de capacitación apropiados para garantizar una formación eficaz y que haya una transferencia de conocimientos sin costes excesivos.

Paso 13: auditoría interna periódica

Si bien no se mencionan en la NIS2, las auditorías internas son recomendadas por ISO 27001 y otros estándares. Ayudan a la alta dirección a supervisar la implementación de la ciberseguridad identificando no conformidades.

Paso 14: revisión periódica de la gestión

Celebrar reuniones formales de revisión de la dirección del proyecto para proporcionar a la alta dirección información relevante sobre ciberseguridad (por ejemplo: informe de medición e informe de auditoría interna). Estas revisiones permiten tomar decisiones clave sobre ciberseguridad.

Paso 15: ejecutar acciones correctivas

Implementar un enfoque sistemático para resolver las no conformidades. Analizar la causa de cada problema y definir actividades para eliminarlo, asegurando que no se repitan disconformidades similares.

Conclusiones

Siguiendo estos pasos, las organizaciones pueden lograr de manera efectiva el cumplimiento de la Directiva NIS 2, mejorar su estado de ciberseguridad y protegerse contra las ciberamenazas en constante evolución.

Todas las empresas españolas sujetas al nuevo marco regulatorio deben estar preparadas para implementar la directiva NIS2 en España. De lo contrario, estarán expuestos a sanciones económicas e incluso a la suspensión de sus actividades o cargos directivos.

Por este motivo, es vital contar con servicios avanzados de ciberseguridad que permitan a las empresas cumplir con todas sus obligaciones y gestionar eficazmente los riesgos a los que se enfrentan. Están en juego la continuidad de su negocio, su reputación y su posición en el mercado.

Grupo Aire puede ayudar con algunos de los componentes más tecnológicos, como:

  • Auditorías de seguridad para evaluar todos sus sistemas y activos tecnológicos;
  • Gestión de vulnerabilidades para detectar y priorizar la mitigación de las debilidades encontradas, incluidas las cadenas de subministro;
  • El análisis de riesgos continuo es inherente a su estructura, exposición digital y panorama de amenazas;
  • Servicios de Penetration Testing para probar sus estructuras de ciberseguridad y evaluar la efectividad de las medidas implementadas;
  • Servicios de respuesta a incidentes para detectar y responder eficazmente a los ciberataques, garantizar la continuidad del negocio y restaurar la normalidad;
  • Pruebas de ingeniería social para ayudar a educar a su personal sobre los riesgos que enfrentan diariamente.
  • Ayude a crear un plan de continuidad del negocio centrado en servidores y comunicaciones.

Nelson José L. Nogueira

Business Unit Manager – Strategic Outsourcing

Picture of grupoaire

grupoaire

Si te ha gustado, compártelo en redes sociales

Artículos relacionados

Teléfono

+34 911 090 000

Dirección

Santiago Ramón y Cajal 11 Elche Parque Empresarial 03203 Elche (Alicante)

Redes Sociales

Linkedin X-twitter Youtube
Aviso legal
Política de cookies
Certificaciones
Información corporativa
Nosotros
Equipo
Únete a nosotros
Marcas
Noticias
Contacto
Pablo García

Corporate and Public Administration Director

Web de PerseoTV

Web de ionmobile

Información sobre Zentinela

Web MeetIP
Web OASIX

En Teradisk son consultores expertos en servicios gestionados para entornos cloud. Proveedores de infraestructura cloud con migración, monitorización, seguridad e integraciones; especializados en servicios de ciberseguridad con SOC propio, sistemas de misión crítica, alta disponibilidad y entornos web distribuidos y escalables, ofreciendo el servicio y operativa en formato 24/7.

Web Teradisk
Web SysAdminOK
Web Stackscale

Compañía dedicada a la provisión de servicios de conectividad y data center en las Islas Canarias, con una potente red y que orienta su negocio a clientes empresas, AAPP y Wholesale.

Web Idecnet

Web Ar Telecom

Web Aire Networks

Carlos Cortés

Wholesale Director

Carlos descubrió que su pasión era la tecnología en el año 1997, cuando comenzó a trabajar para Motorola, el fabricante americano de tecnología, líder del mercado mundial durante décadas.

A partir de ahí, se sumergió en el sector tecnológico hasta que en 2018 encontró un proyecto que le apasionó y que le ofrecía la oportunidad de volver a trabajar en su tierra, Alicante.

Un proyecto que le permite desarrollar su pasión por las cosas bien hechas, en busca del crecimiento y mejora constante, buscando dar lo mejor de sí mismo y de la compañía, ofreciendo lo mejor a nuestros clientes.

Félix Nebreda

SME Director

Félix inició su carrera como consultor en tecnología hace casi 30 años, trabajando para diversas compañías. Fue en Unisys España donde descubrió que su verdadera pasión era la relación con el cliente. Desde entonces, ha asumido responsabilidades de negocio en cuentas clave, tanto a nivel nacional como internacional, en multinacionales como Colt y Brocade.

Posteriormente, se embarcó en la emocionante tarea de participar en el lanzamiento de LCRcom, un nuevo operador para empresas en el ámbito nacional, con gran éxito. Desde el principio, en LCRcom ha sido responsable de la generación de negocio en diferentes territorios y de la gestión de equipos comerciales.

Actualmente, en Grupo Aire, Félix dirige el Área SME, donde se dedica a desarrollar y ejecutar estrategias de negocio que mantienen al Grupo Aire como líder en el sector a nivel nacional.

Joan Aniorte

CTO

Joan ve la tecnología como una palanca con la que accionar el acceso al conocimiento y posibilitar la comunicación entre personas en tiempo real. Desde sus inicios en Grupo Aire, cuando estaba en el último curso de universidad, se ha esforzado por superar los retos técnicos a los que se ha ido enfrentando, con la motivación de aprender y llegar al fondo de cada proyecto. Como CTO Staff, aplica esta experiencia, su visión, empuje y mimo por los detalles a distintas áreas de trabajo. Del proyecto destaca su vocación tecnológica y su equipo, por su calidad humana y su enfoque de resolución del problema.

Manuel Rivera

CHR & Integration Officer

María Pérez Carrascosa

CFO

Tras el salto de la banca a las telecomunicaciones, María aporta su experiencia en el sector y una nueva visión de la función financiera estratégica, además de mejores prácticas y soporte a los accionistas y equipo directivo para la toma de decisiones. Todo ello con el objetivo de llevar a Grupo Aire hacia las metas propuestas en el plan de negocio.

Del Grupo Aire destaca su capacidad de adaptarse al mercado de las telecomunicaciones innovando; una infraestructura única en la península Ibérica y un capital humano cualificado y comprometido que, junto con el apoyo de Ardian, son clave para el éxito del proyecto.

Zigor Gaubeca

CIO

A pesar de criarse en un pequeño pueblo con menor facilidades de acceso a la tecnología, para Zigor no fue una barrera el sumergirse en el sector tecnológico desde muy joven, comenzando después la carrera de Ingeniería Informática con la intención de seguir profundizando sobre todo lo que había ido aprendiendo de forma autodidacta a lo largo de los años.

Su sueño de dedicarse al mundo de la conectividad se hizo realidad al llegar a la compañía, donde sintió el proyecto como suyo desde el primer momento, compartiendo triunfos y aprendiendo de los fracasos.

Con un gran sentido de equipo, Zigor trabaja diariamente para ayudar en la toma de decisiones aportando su visión y experiencia, asumiendo todos los retos que pueda encontrar en el camino y manteniendo ese ADN de la compañía en el que la tecnología, el trabajo en equipo y la innovación son esenciales.

Santi Magazù

Director General

Santi Magazù tiene más de 20 años de experiencia en el sector de telecomunicaciones y de servicios TI, habiendo ocupado puestos directivos en multinacionales como Telefónica, donde desempeñó varios cargos, como director de ingeniería de servicios TI para España y director comercial de Cloud Computing para todo el Grupo. También ha trabajado como director de Marketing en el operador regional Grapes, y como CEO y COO en startups de tecnología, entre ellas en PlayGiga, la primera compañía adquirida por Facebook en España. Inició su carrera como consultor de estrategia en Monitor Co., actualmente parte de Deloitte.

En cuanto a su formación, es ingeniero industrial por el Politécnico de Milán y MBA por INSEAD (Francia).

Ángel Blancas

CPO

Ángel Blancas tiene una carrera a nivel directivo de más de 30 años en compañías como Grupo SIA (Indra), donde estuvo liderando el área de Cloud Computing y Managed Services como Senior Director; Colt Technology dónde ocupo la posición de Regional General Manager en España y Portugal. Otras empresas en las que ha trabajado dentro del sector tecnológico son T-Systems Iberia, Dell Computer, Getronics y Sun Microsystems (Oracle). Recientemente, ocupó la posición de Regional Director en Claranet.

Estudió Ingeniería de Telecomunicaciones en la Universidad Politécnica de Madrid y tiene un máster en Inteligencia Artificial por la Universidad Internacional de Valencia. Llega a Grupo Aire para dar apoyo en la definición y estrategia de Producto.

Miguel Tecles

Consejero

Curiosidad y pasión por la tecnología son el motor imparable de una carrera profesional que empezó, nada menos que a los 4 años, arreglando el cable roto de una plancha que había dejado de funcionar. Desde ese precoz impulso, la biografía de Miguel Tecles está escrita con cables de colores, líneas de programación, ondas de radio, señales de internet cuando casi no existía, muchos voltios y algún calambre inesperado.

Hoy, con el cargo de Chief Technology Officer en Aire Networks, Miguel Tecles es uno de sus principales pilares.

Nadie mejor que él personifica el compromiso de la compañía con sus clientes: llevar la tecnología siempre al siguiente nivel, haciendo lo que nadie hace, como nadie lo hace y llegando hasta donde nadie llega, para ofrecer servicios que generen valor para todos.

Raúl Aledo

CEO

Apasionado de la tecnología y el funcionamiento interno de todo lo que le rodeaba desde muy temprana edad, Raúl empezó sus primeros pinitos en el mundo de la electrónica y la programación a los 14 años, cuando hizo su primer programa de facturación, contabilidad y gestión de almacén para la empresa familiar.

Con ello y la llegada de internet, comenzó su dedicación al mundo de las telecomunicaciones, estudiando Ingeniería Informática, donde conoció a su primer socio, Miguel Tecles, a través de lo que fue una de las primeras redes sociales, IRC. Tras más de dos años trabajando juntos y mejorando su know-how, conocieron a Emilio Gras, el tercer socio de la actual compañía, comenzando juntos en 1996 su primer proyecto de ServiHosting, e iniciando un camino que los llevaría hasta donde están hoy.

Raúl es pilar fundamental en el Grupo Aire, no solo a través de su experiencia, sino a través de los valores que aporta e implementa en la compañía, como la visión de futuro, aceptando retos y alcanzando metas; su compromiso con cada detalle y el sentimiento de equipo, fomentándolo día a día.

Configuración de las cookies

Las cookies y otras tecnologías similares son una parte esencial de cómo funciona nuestra web. El objetivo principal de las cookies es que tu experiencia de navegación sea más cómoda y eficiente y poder mejorar nuestros servicios y la propia web. Aquí podrás obtener toda la información sobre las cookies que utilizamos y podrás activar y/o desactivar las mismas de acuerdo con tus preferencias, salvo aquellas Cookies que son estrictamente necesarias para el funcionamiento de la web de Aire Networks. Ten en cuenta que el bloqueo de algunas cookies puede afectar tu experiencia en la web y el funcionamiento de la misma. Al pulsar “Guardar cambios”, se guardará la selección de cookies que has realizado. Si no has seleccionado ninguna opción, pulsar este botón equivaldrá a rechazar todas las cookies. Para más información puedes visitar nuestra Políticas de Cookies. Podrás cambiar en cualquier momento tus preferencias de cookies pinchando en el enlace “Preferencias de cookies” situado en la parte inferior de nuestra web.