La directiva de seguridad NIS2, recientemente publicada, dedica gran parte de su articulado a la gestión de los riesgos de seguridad, con especial hincapié en la gestión del riesgo de terceros.

Comparte

La NIS2, que los estados miembros de la Unión Europea deberán trasponer a la normativa local nacional antes de octubre de 2024, establece que deberá fomentarse y desarrollarse una cultura de gestión de riesgos que abarque evaluaciones del riesgo y la aplicación de medidas para la gestión de riesgos de ciberseguridad.

Estas medidas de seguridad implementadas por las organizaciones esenciales o importantes(*) garantizarán un nivel de seguridad adecuado en relación con los riesgos existentes, e incluirán al menos los siguientes elementos:

• Seguridad de la cadena de suministro y la relación entidad - proveedor.

• Políticas y procedimientos para evaluar la eficacia de la gestión de riesgos de ciberseguridad.

• Políticas y procedimientos de cifrado.

• Continuidad de las actividades de la organización, desde la gestión de copias de seguridad, a la recuperación ante catástrofes y la gestión de crisis.

• Políticas de seguridad de los sistemas de información, y análisis de riesgos.

• Seguridad de los recursos humanos, el control de acceso y la gestión de activos.

• Seguridad en la adquisición, desarrollo y mantenimiento de redes y sistemas de información.

• Prácticas básicas de ciberhigiene y formación en ciberseguridad obligatoria para la alta dirección.

• Gestión de incidentes de seguridad.

• Implementación y uso de soluciones de autenticación multifactor, comunicaciones seguras y sistemas seguros para las comunicaciones de emergencia.

Auditorías de seguridad

La directiva establece también que las autoridades competentes podrán someter a las entidades a auditorías de seguridad periódicas y específicas, o solicitar pruebas de la aplicación de las políticas de ciberseguridad. Los resultados de las auditorías de seguridad realizadas por un auditor cualificado y las correspondientes pruebas subyacentes servirán para acreditar cumplimiento. Los costes de estas auditorías serán sufragados por la entidad auditada.

(*) Para conocer más sobre las entidades consideradas esenciales e importantes, descárgate este documento que desglosa en profundidad los cambios que trae la NIS2.

La calificación de ciberseguridad como herramienta de cumplimiento

La calificación de ciberseguridad ofrece una solución a tres aspectos fundamentales:

• Para los órganos de dirección, la calificación de los servicios prestados por la organización acredita su debida diligencia en el control y seguimiento de la aplicación efectiva de las medidas de seguridad que deben implementarse para una apropiada gestión de los riesgos.

• Para la propia organización, pueden utilizarla ante las autoridades competentes como prueba de aplicación de las políticas de ciberseguridad y mostrar el resultado de las auditorías, realizadas por un auditor cualificado.

• Para gestionar los riesgos y seguridad de la cadena de suministro, solicitando que las organizaciones implicadas dispongan asimismo del nivel de calificación adecuado para sus propios servicios, y así garantizar a su vez el cumplimiento de las mismas políticas de ciberseguridad.

¿Quieres más información sobre la NIS2?

All you need is LEET!

Recibe nuestras notificaciones desde este enlace