NIS2 La historia jamás contada

Ahora todas las certificadoras y consultoras publicitan la posibilidad de “certificarse en NIS2”

Lo primero es aclarar que por lo menos por ahora no existe una certificación como tal, pero tenemos medidas de saber si estamos cumpliendo por lo menos inicialmente.

Si os fijáis los pasos que se tienen que seguir son muy iguales a los que sería una certificación del Esquema Nacional de Seguridad o de una certificación de ISO 27001

?

1. Identificación del ámbito de aplicación de NIS2

• Verifica si tu organización está dentro del alcance de NIS2: La directiva se aplica a entidades que operan en sectores esenciales como energía, transporte, salud, banca, infraestructuras digitales, agua potable, entre otros. Asegúrate de que tu organización esté catalogada como una "entidad esencial" o "entidad importante" según la directiva.
• Si tu organización proporciona servicios digitales críticos o infraestructuras clave que podrían afectar a la sociedad o la economía en caso de incidente, es probable que NIS2 aplique.

2. Evaluación de los requisitos de seguridad

• Evalúa las medidas de seguridad aplicables a las redes y sistemas de información de tu organización. NIS2 impone ciertos requisitos de seguridad que deben cumplirse, incluyendo: Gestión de riesgos: Implementar medidas técnicas y organizativas para gestionar los riesgos relacionados con la seguridad de las redes y sistemas de información. Protección contra ciberamenazas: Implementar controles efectivos para prevenir y mitigar ciberataques y amenazas de seguridad. Respuesta a incidentes: Establecer procedimientos de gestión y respuesta a incidentes, con la obligación de notificar incidentes significativos a las autoridades competentes. Continuidad del negocio: Definir y garantizar la continuidad de los servicios en caso de incidentes.

3. Revisión de la #gobernanza y gestión de riesgos

• Evalúa la estructura de gobernanza de seguridad en tu organización. NIS2 exige que las empresas cuenten con una gobernanza sólida, incluida la asignación de responsabilidades específicas para la seguridad cibernética, la gestión de riesgos y la creación de políticas de seguridad.
• Realiza un análisis de riesgos en los sistemas críticos de tu organización, siguiendo un enfoque basado en el riesgo, para garantizar que todas las vulnerabilidades conocidas sean identificadas y gestionadas.

4. Cumplimiento de notificaciones de incidentes

• Verifica si tienes procedimientos para la notificación de incidentes a las autoridades competentes. NIS2 impone la obligación de notificar los incidentes que tengan un impacto significativo en la continuidad de los servicios esenciales en un plazo establecido (por ejemplo, 24 horas para notificaciones iniciales y un informe completo en 72 horas).
• Asegúrate de que el personal esté capacitado para detectar, evaluar y reportar incidentes según lo requerido.

5. Evaluación de proveedores y terceros

• Revisa tus relaciones con proveedores y terceros: Si dependes de terceros para la prestación de servicios críticos, deberás asegurarte de que también cumplan con los requisitos de seguridad de NIS2. Esto incluye establecer cláusulas de seguridad en los contratos y realizar auditorías periódicas.

6. Realiza una auditoría interna o externa

• Contrata una auditoría de cumplimiento NIS2: Puedes realizar una auditoría interna o contratar un consultor externo para que realice una auditoría de seguridad en tu organización, comparando tu estado actual con los requisitos de la directiva NIS2.
• Esta auditoría debería evaluar si se cumplen todos los requisitos técnicos, organizativos y normativos, identificando brechas de cumplimiento y proponiendo medidas correctivas.

7. Crear un plan de cumplimiento

• Si identificas brechas de cumplimiento, deberás crear un plan de acción que contemple las acciones correctivas necesarias para cumplir con NIS2. Este plan debería incluir plazos y recursos necesarios para implementar las medidas correctivas.

8. Capacitación y concienciación

• Asegúrate de que todo el personal, especialmente aquellos involucrados en la seguridad de la información, esté capacitado y concienciado sobre los requisitos de NIS2 y cómo deben gestionarse los riesgos de seguridad y los incidentes.

9. Monitoreo continuo

• Implementa un sistema de monitoreo y mejora continua para asegurar que el cumplimiento con NIS2 no solo se mantenga, sino que se actualice conforme evolucionen las amenazas y los requisitos normativos.