Seven Sector Technologies

logo seven sector
Mas infomación
Volver a blog

Nis2 y Reglamento DORA

Otros Articulos de interes

Si estás actualizado con las noticias en ciberseguridad sabrás que la Unión Europea se ha organizado para crear normativas que buscan mantener más seguras a las empresas de diferentes sectores dándoles unas pautas que deben seguir obligatoriamente. En caso de que quieras indagar más o conocer qué es la NIS2 o el reglamento DORA te explicamos los puntos más importantes.

¿Qué es la NIS2?

El 16 de enero de 2023 entró en vigor la directiva NIS2 que reemplaza a la NIS1. Está dirigida a la Unión Europea y se aplica a todas aquellas empresas públicas y privadas que se consideran esenciales e importantes. Con esenciales se refiere a las relacionadas con áreas críticas como energía, transporte, salud, agua y banca. Las que se consideran importantes son compañías de mensajería, residuos, proveedores digitales, comida y producción y procesamiento de químicos. Estas empresas deben tener más de cincuenta empleados y una facturación anual de más de diez millones de euros. Aunque las empresas pequeñas también deben de cumplir si la NIS2 si trabajan en sectores específicos o dan servicios a entidades esenciales. Esta legislación tiene como objetivo mejorar la ciberseguridad de los miembros buscando un enfoque común. Para ello se comparte información sobre posibles amenazas y se crea un grupo de respuesta ante incidentes.

Con esta nueva normativa hay medidas que deben cumplir las empresas. Se tratan de las siguientes: 

  • Políticas de seguridad.
  • Gestión de incidentes.
  • Continuidad de negocio.
  • Seguridad de la cadena de suministro.
  • Gestión y divulgación de las vulnerabilidades.
  • Políticas y procedimientos para ver la eficacia de la gestión de riesgos.
  • Uso de criptografía.
  • Uso de la autenticación multifactor.

¿Qué pasa si una empresa las incumple?

Si no se adoptan estas medidas de seguridad, pueden recibir una sanción de hasta diez millones de euros si es una entidad esencial, en el caso de que sea una importante, puede ser hasta siete millones. Las compañías deben realizar auditorías regularmente para identificar vulnerabilidades, incluir la autenticación multifactor y políticas de cifrado. 

Otra parte que deben cumplir las empresas sobre la NIS2 es el informar en un período de tiempo. Si hay algún ataque, deben avisar en las primeras veinticuatro horas a las autoridades competentes, a las setenta y dos horas hacer un reporte de los detalles y a los treinta días enviar un informe completo donde se explica qué ha pasado, el grado de importancia y qué medidas correctivas se han implementado.

Seguir con la NIS2 también ofrece beneficios a las empresas que lo hagan, como generar más confianza a los clientes, una mejor reputación, reducen los riesgos de sufrir un ataque y tienen las medidas para hacerle frente en caso de que uno suceda.

Imagen que muestra iconos de los sectores mencionados anteriormente que deben cumplir la NIS2.

¿Qué es el Reglamento DORA?

El DORA (Digital Operational Resilience Act) es una regulación innovadora de la Unión Europea centrada en mejorar la ciberseguridad en el sector financiero para la gestión de los riesgos de las TIC (tecnologías de la información y la comunicación). No solo afecta a las propias empresas financieras sino que también a aquellas que tengan relación como los proveedores y las que prestan servicios de información. Debía ser implementada antes del 17 de enero del 2025 en las entidades respectivas.

No solo tiene como objetivo la ciberseguridad en las empresas financieras, además,  busca armonizar las normativas sobre gestión de riesgos en TIC en la Unión Europea con el objetivo de que no se sobrepongan.

En España los supervisores principales quienes se encargan de comprobar que las entidades cumplan con el reglamento DORA son Banco de España y CNMV (Comisión Nacional del Mercado de Valores). Estos tienen la posibilidad de solicitar medidas de seguridad, revisar las ya existentes de las empresas para saber si son correctas y sancionar a las que no cumplan. Estas sanciones equivalen a un 1% de la facturación media diaria del proveedor. Pueden ser recibidas cada día hasta llegar a los seis meses si no siguen el reglamento.

¿Cuáles son las obligaciones del reglamento?

Establecer requisitos técnicos: las entidades deben mantenerse al día con las amenazas, desarrollar marcos integrales y hacer evaluaciones de los riesgos de las TIC. También tienen que analizar cómo estos peligros y situaciones pueden afectar a su empresa esto les ayuda para poder estar preparados. Una vez hecho el análisis deben informar de la estructura TIC y contar con los reglamentos y herramientas de ciberseguridad necesaria.

Notificación de incidentes: las empresas tienen que contar con un sistema de monitoreo, gestión y registro de incidentes. Si sufren un incidente dependiendo de la gravedad se escriben hasta tres informes además de comunicarle a las respectivas personas como clientes y socios. El primer informe es para notificar a las autoridades, el segundo se explica cómo la empresa está solucionando el incidente y el último se ha de analizar extensamente las causas.

Pruebas de resiliencia operativa digital: También tienen que realizar pruebas para conocer el nivel de seguridad y las vulnerabilidades que puedan haber. Presentar un plan de mejora de los TIC que ha de ser validado por la autoridad que corresponda. Pruebas de penetración con amenazas específicas para las empresas financieras las cuales además deben compartir información sobre los peligros y tecnologías.

Gestión de riesgos de terceros: Las entidades deben preocuparse también de que sus terceros cumplan. Para ello deben hacer acuerdos contractuales específicos y cartografiar la información. Es importante que todos estos datos no los tenga un grupo pequeño de proveedores para evitar que toda la información se vea perjudicada. Asimismo los terceros también son supervisados para asegurar que cumplen con la normativa.

Aunque DORA está para ayudar puede suponer un reto para algunas empresas por la inversión en seguridad y tecnología, pero tiene una serie de beneficios como mantener segura la empresa reduciendo las posibilidades de sufrir un incidente mejorando la gestión de riesgos y la respuesta a ellos, aumento en la confianza de sus clientes, mejora en su reputación y ventaja competitiva.

En conclusión

Estas medidas tanto NIS2 y DORA son importantes para reforzar la seguridad y proteger a las empresas. Nos alegra ver que la Unión Europea se ha movilizado y trabaja en normativas para mejorar la ciberseguridad llegando a un futuro más seguro entre todos.