Directiva NIS

Introducción

La directiva NIS refuerza la seguridad de los servicios digitales y de importancia social

Las redes y los sistemas de información forman una parte importante de la sociedad. En relación con la digitalización de cada vez más servicios y sistemas de importancia social, aumenta el riesgo de seguridad y la necesidad de protegerlos. La UE ha desarrollado una directiva que obliga a los proveedores de servicios socialmente importantes a trabajar con la gestión de riesgos e incidentes para aumentar la seguridad y lograr un alto nivel de seguridad común.

Transporte, banca y finanzas, sanidad y energía y agua son algunos de los ámbitos afectados. En la práctica, la directiva NIS implica obligaciones de informar en caso de incidentes, así como trabajar con estándares de seguridad para mantener un alto nivel de seguridad. Para cumplir con la directiva NIS, se requiere un trabajo extenso en TI y seguridad de la información. La mayoría de los requisitos se cumplen trabajando con un sistema de gestión para obtener una certificación en seguridad de la información (ISO 27001).

contáctenos
contáctenos
¿Quieres saber más sobre nuestro servicio y nuestras soluciones? Contáctanos y te ayudaremos.
Contáctenos

Algunos de nuestros clientes

trasfondo

¿Qué es la Directiva NIS?

NIS es una abreviatura de «redes y sistemas de información», donde la directiva tiene como objetivo proteger las redes y los sistemas de información que son cruciales para el funcionamiento de la sociedad mediante la introducción de medidas para gestionar riesgos e incidentes. La legislación fue introducida por la UE para fortalecer la seguridad de los servicios digitales y de importancia social.

La Directiva NIS cubre varios sectores como el transporte, la banca y las finanzas, la atención sanitaria, la energía y el agua, así como la infraestructura digital y los proveedores de servicios digitales. Requiere que los estados miembros de la UE establezcan marcos y estrategias nacionales para mejorar la seguridad en estos sectores y establezcan requisitos mínimos para gestionar los riesgos de seguridad cibernética.

ACTUALIZACIÓN

Directiva NIS2

La directiva NIS2 es una versión actualizada de la directiva NIS original introducida por la UE. El objetivo de la directiva NIS2 es reforzar aún más la seguridad de los servicios digitales y de importancia social. Al igual que su predecesora, la directiva NIS actualizada se centra en la gestión de riesgos e incidentes para aumentar la seguridad y lograr un alto nivel común de seguridad para redes y sistemas de información.

NIS

Te ayudamos con la directiva NIS

Además de ofrecer soporte y orientación a través de la Directiva NIS, también ofrecemos servicios de seguridad informática que cubren total o parcialmente los requisitos marcados por la Directiva NIS. Entre otras cosas, podemos ofrecer proyectos ISO 27001 , escaneo de vulnerabilidades , pentest , monitoreo de seguridad y capacitación del personal .

Supervisión

Es un requisito de la directiva NIS que los estados miembros designen autoridades que gestionen el seguimiento y la aplicación de la directiva. Las autoridades de supervisión designadas gestionan la supervisión dentro de su sector.

La supervisión consiste en comprobar que las actividades dentro de los sectores cumplen con los requisitos de medidas de seguridad y notificación de incidentes.

En el caso de los servicios digitales, la supervisión se lleva a cabo únicamente a posteriori. Esto significa que la Junta Sueca de Correos y Telecomunicaciones, que es la autoridad supervisora ​​de los servicios digitales, sólo lleva a cabo la supervisión cuando tiene motivos razonables para suponer que un proveedor no cumple los requisitos.

Sanciones

Al igual que el reglamento de protección de datos, existen sanciones contra las empresas que violen la directiva NIS. La autoridad de control impone una tasa de sanción si una empresa no cumple con las obligaciones que tienen los proveedores de servicios socialmente importantes.

La cuantía de las sanciones impuestas difiere entre los Estados miembros. En Suecia, la multa asciende a un máximo de 10 millones de coronas suecas. La magnitud de la sanción está determinada por tres factores diferentes.

El riesgo o daño que surgió como resultado de la violación

Si el proveedor cometió previamente una violación

Los costos que el proveedor ha evitado como resultado de la violación.

Responsabilidades

Las obligaciones de los proveedores de servicios socialmente importantes son:

  • Informar su actividad como socialmente importante.
  • Realizar anualmente análisis de riesgos y medidas técnicas preventivas para incrementar la seguridad de la red y los sistemas de información del negocio y garantizar la continuidad (o disponibilidad) de los servicios.
Informar sin demoras indebidas de aquellas incidencias que tengan un impacto significativo en la continuidad.
Las obligaciones para las actividades que caen dentro del ámbito de los proveedores de servicios digitales difieren de las de los servicios socialmente importantes. Las responsabilidades son las siguientes.
  • Informar su actividad como socialmente importante.
  • Implementar las medidas técnicas adecuadas para aumentar la seguridad de las redes y sistemas de información de las empresas y garantizar la disponibilidad o continuidad de los servicios cuando ofrezcan servicios dentro de la Unión Europea.
  • Informar sin dilación indebida de incidencias que tengan un impacto significativo en la prestación de un servicio digital que ofrecen a los clientes dentro de la Unión Europea.

Ley (2018:1174) sobre seguridad de la información para servicios digitales y de importancia social

Ordenanza (2018:1175) sobre seguridad de la información para servicios digitales y de importancia social