A raíz de la aprobación de la nueva normativa europea en materia de ciberseguridad, S21Sec ha elaborado el Whitepaper «Directiva NIS2: Consultoría para Administraciones Públicas», exponiendo las implicaciones y el impacto de la reciente legislación en el sector público. Con el fin de mejorar la estrategia de seguridad de las Administraciones públicas, Thales Group ha creado un esquema de trabajo avanzado soportado por una herramienta software que integra distintos controles de seguridad para evaluar el nivel de madurez en ciberseguridad en los organismos institucionales. Entre los principales sectores afectados por los cambios normativos de la Directiva, destaca el sanitario, el de telecomunicaciones, el energético, el relativo a la infraestructura digital, el bancario y el financiero.
S21sec, uno de los líderes europeos de servicios de ciberseguridad adquirido por Thales Group en 2022, ha elaborado el informe 'Directiva NIS2: Consultoría para Administraciones Públicas', en el que refleja las implicaciones de la nueva normativa en ciberseguridad NIS2, que se aprobó los últimos días de 2022, y cuyo objetivo se centra en mejorar el estado actual de ciberseguridad en toda la Unión Europea, alentando a las instituciones a introducir nuevas áreas de interés en sus estrategias nacionales de ciberseguridad, como la cadena de suministro, la gestión de vulnerabilidades y la infraestructura de Internet central. Los países de la UE tienen 21 meses para incorporar la NIS2 en su marco legislativo nacional, y es que su aplicación permitirá a miles de entidades incrementar su nivel de protección contra los ciberataques.
La compañía, en su objetivo por fortalecer la seguridad de la Administración pública y motivar el cumplimiento de la normativa NIS2 en diferentes sectores, ha desarrollado un esquema de trabajo que agrupa diferentes herramientas, enfoques y estándares para el desarrollo de una herramienta de análisis, integrando varios estándares y marcos reconocidos (la propia NIS2 y otros como ISO/IEC 27001, NIST CSF, CIS 18, ISO/IEC 22301, etc.), para evaluar el nivel de madurez de ciberseguridad de los organismos institucionales. Esta estructura de trabajo se sustenta de cinco pilares (detección, identificación, respuesta, recuperación y protección) que posibilitan la definición de un objetivo adaptable según la evolución del panorama de amenazas y de los avances normativos.
La reciente legislación, que reemplaza la Directiva NIS aprobada en 2016 - todavía en vigor hasta la transposición de la nueva normativa en España -, moderniza y amplía el ámbito de aplicación de las normas de ciberseguridad a nuevos sectores y entidades que prestan servicios esenciales, mejorando así la resiliencia y la capacidad de respuesta y recuperación frente a los ciberataques de entidades tanto públicas como privadas. Entre los sectores sujetos a los cambios normativos de la Directiva, destaca el sector sanitario, el de telecomunicaciones, el energético, el relativo a la infraestructura digital, el bancario y el financiero, entre otros.
Esta nueva normativa tendrá amplias implicaciones para el sector público, entre las que destacan la implementación de medidas de seguridad mejoradas para proteger información sensible, complementándose de una evaluación periódica de riesgos con el fin de informar sobre el estado de la ciberseguridad a las autoridades competentes designadas por cada Estado. Así mismo, se establece la obligación de gestionar la ciberseguridad en todo el ciclo de vida de las redes y sistemas de información, considerando el Internet de las cosas (IOT) como parte del alcance, entendido esto como el proceso de digitalización de todo tipo de dispositivos comunes.
Entre otros requerimientos, la normativa apela a que la Administración implemente medidas de continuidad del negocio para asegurarse de que sus actividades no se vean interrumpidas en caso de incidentes, acompañándose de políticas corporativas internas y de esfuerzos en la capacitación de los empleados en materia de ciberseguridad. Según Joseba Enjuto, Head of Consulting de la compañía, uno de los pilares claves de NIS2 está relacionado con la seguridad de la cadena de suministro, “los organismos no solamente deben poner el foco en su infraestructura, sino que también deben estar al tanto de la ciberseguridad de sus proveedores de servicios, dado que la cadena de suministro se configura como un vector cada vez más explotado para los ciberataques.”.
Con el fin de ampliar información sobre los marcos normativos de referencia, S21Sec organizó un webinar el pasado 25 de octubre en el que el experto subrayó que “la ciberseguridad ya no es una opción, es una obligación de base para el sector ya que su incumplimiento por parte de la organización puede conllevar el cese de la actividad”. Así mismo, el experto remarcó cómo “la aplicación de NIS2 representa una oportunidad única dado que su aplicación permitirá a miles de entidades protegerse mejor ante un contexto en donde las amenazas son crecientes y las brechas cuentan cada vez con mayor cantidad de datos que son extraídos y utilizados maliciosamente”.
(S21Sec)
