“Si nos fijamos en NIS-2, encontraremos muchos paralelos con ISO 27001”

enero 2, 2024
G DATA Blog

 

“Si nos fijamos en NIS-2, encontraremos muchos paralelos con ISO 27001”

Los requisitos legales para la seguridad informática no son nuevos. Pero la directiva NIS 2 lleva la seguridad informática a un nuevo nivel y supone un gran desafío para muchas empresas. Dr. Matthias Zuchowski, experto en reglamentación de G DATA CyberDefense, aporta información sobre el tema y explica por qué ahora se responsabiliza a los consejos de administración y a la dirección.

¿Qué hay de nuevo en NIS-2? ¿Y qué diferencia a NIS-2 de otras leyes?

Dr. Matthias Zuchowski: La novedad del NIS-2 es el ámbito de aplicación. La directiva europea extiende la ciberseguridad a muchas medianas empresas. Y el número de industrias afectadas también está aumentando significativamente. Sólo en Alemania se estima que unas 30.000 empresas tienen que lidiar con NIS-2. Los requisitos básicos de NIS-2 no son nuevos ni realmente sorprendentes si ya se ha ocupado antes de la seguridad informática.

Lo que hace que NIS-2 sea complicado en este momento es la falta de especificaciones o puntos de referencia concretos. La ley alemana de implementación, la Ley de Implementación y Fortalecimiento de la Ciberseguridad NIS 2 (NIS2UmsuCG), todavía se encuentra en el proyecto de ley. Otros problemas surgen directamente de la Directiva NIS 2, en particular de los actos de ejecución mencionados en el artículo 21, apartado 5. Estos establecen que la UE puede emitir más especificaciones sobre cómo se deben implementar exactamente los requisitos legales de la Directiva NIS 2. Por poner un ejemplo: en Alemania ya existen requisitos legales para las empresas KRITIS, la Ley de seguridad informática y las directrices de BSI basadas en ella, por ejemplo la «especificación de los requisitos para los requisitos según el artículo 8a, apartado 1 de la BSIG (Ley según la Oficina Federal de Seguridad de la Información).

Sin embargo, la directriz NIS 2 en realidad sólo cumple con el escenario de amenaza actual. Porque los ciberdelincuentes se arman cada vez más. Los grupos de perpetradores no sufren una crisis económica mientras las empresas sean negligentes con sus medidas de seguridad informática. Debemos poner fin a este crimen ahora.

¿Dónde tienen las empresas la mayor necesidad de acción?

Dr. Matthias Zuchowski: No existe una respuesta general a esta pregunta. ¿Por qué? Porque las empresas afectadas tienen requisitos muy diferentes. Esto abarca desde empresas que recién oyen hablar de seguridad informática por primera vez hasta empresas que ya han implementado las medidas adecuadas.

Y si nos fijamos en NIS-2, encontraremos muchos paralelos en términos de contenido con ISO 27001. Hay importantes superposiciones temáticas. Por lo tanto, cualquiera que hasta la fecha sólo haya tomado precauciones mínimas de seguridad de TI debería tomar esto como guía. En principio, las empresas deben introducir la norma ISO 27001 en la medida de lo posible. Pero para disgusto de las empresas, todavía faltan especificaciones detalladas para NIS-2. Esto molesta a muchas empresas porque la cuestión de la norma ISO 27001 es compleja, requiere mucho tiempo y cuesta dinero. Pero ninguna empresa afectada podrá evitar la NIS-2 y los largos pasos hacia la ISO 27001.

¿Cuándo deben las empresas cumplir con NIS 2?

Dr. Matthias Zuchowski: La fecha límite para NIS-2 es el 18 de octubre de 2024. Esa es la teoría. Sin embargo, la mayoría de las empresas probablemente no tendrán que demostrar que cumplen con NIS 2 hasta tres años después. Esto da como resultado una buena noticia y dos malas noticias:

La primera mala noticia: debe haber implementado NIS-2 por ley y por los requisitos de la UE a partir del 18 de octubre de 2024 y cumplirlos.

La buena noticia es que no es necesario demostrar que cumple con las normas hasta tres años después.

Malo otra vez: si algo sucede en estos tres años, p. B. una emergencia informática, tanto la compañía de seguros como la autoridad de control, que también podrá distribuir las multas, acusarán a los responsables de esta negligencia y, si es necesario, los sancionarán.

Quien no haya aplicado las medidas antes del 18 de octubre de 2024, en sentido estricto, ya no cumple la ley.

¿Cómo puedo saber yo, como empresa, si estoy afectado?

Dr. Matthias Zuchowski: En primer lugar, cualquiera que tenga más de 50 empleados y/o un volumen de negocios anual o un balance anual de más de 10 millones y pertenezca a uno de los 18 sectores afectados, en el futuro estará incluido en el NIS-2. (Puede encontrar una descripción general de los sectores afectados aquí: www.gdata.de/business/nis-2-guideline )

Pero la respuesta a esta pregunta no es tan trivial como parece a primera vista. Porque hay excepciones y la lista abarca varias páginas. Eso lo complica. A estas empresas se les aplican regulaciones diferentes. Un ejemplo es la Ley de Resiliencia Operacional Digital (DORA) para el sector financiero. Y en caso de duda, son incluso más estrictos que NIS-2. O hay razones políticas para un trato especial. La directiva contiene una cláusula de apertura para los municipios, sobre la cual el legislador alemán aún no se ha pronunciado.

¿Qué pasa con los costos?

Dr. Matthias Zuchowski: Definitivamente no es barato. En mi opinión, existe ciertamente la posibilidad de que el esfuerzo financiero pueda llevar a las empresas al borde del desempeño económico. La cuestión aquí es cómo aborda el legislador estos casos. ¿Habrá actos de ejecución simplificados para las empresas más pequeñas? Pero negarse a implementar NIS 2 por razones de costos es miope e igualmente fatal. Por regla general, invertir en medidas de seguridad informática siempre es más barato que el coste total de un ciberataque. Y, en el peor de los casos, esto también puede llevar a las empresas a la insolvencia.

¿Cómo deberían la dirección y los consejos de administración afrontar el nuevo desafío? ¿Cómo pueden gestionar el esfuerzo además de su actividad diaria?

Dr. Matthias Zuchowski: La respuesta seráNo a todos los miembros de la junta les gusta. Básicamente, la continuidad del negocio es y siempre ha sido su problema. Debe asegurarse de que las operaciones comerciales sigan funcionando. NIS-2 simplemente amplía los riesgos para incluir el tema de la seguridad informática. Y los responsables tienen que encargarse de eso. Cualquier otra cosa sería una negligencia flagrante.

Quizás una mirada a la legislación bancaria ayude aquí. Los miembros de la junta necesitan saber cómo funciona la evaluación de riesgos. Y esa es su tarea principal. Y eso incluso funciona. Aquí cada persona del consejo tiene al menos una visión general suficiente. Porque sólo puedo garantizar la seguridad informática si sé aproximadamente lo que está pasando. La mano derecha simplemente debería saber lo que hace la mano izquierda y viceversa.

Entonces, en realidad, la directiva NIS 2 simplemente recuerda a las juntas directivas y a la gerencia una tarea central que algunas personas tal vez no hayan identificado como tal. Pero: ningún miembro de la junta directiva ni ningún director general tiene que implementar esto personalmente. También puedes delegar esto, por ejemplo, en alguien responsable del proyecto. Pero hay que controlarlo y aprobarlo. Esto significa: hay que entender lo que está pasando y ver que está sucediendo y que las medidas se están implementando. La directiva no exige que nadie estudie informática, pero sin duda resulta útil una cita periódica de coordinación con el grupo del proyecto. Porque el fracaso del proyecto NIS 2 en una empresa no es una opción.

Finalmente, una pregunta estimativa: ¿Cuántas empresas cumplirán con NIS 2 el 18 de octubre y cuántas tres años después?

Dr. Matthias Zuchowski: Me temo que como máximo el diez por ciento de las empresas afectadas habrán implementado NIS-2 antes del 18 de octubre de 2024. Pero dentro de tres años habrá muchos más. Quizás alrededor del 80 por ciento. Definitivamente no será al 100 por ciento. Las empresas clasificadas por la ley como “particularmente importantes” deben demostrar activamente su cumplimiento, mientras que las empresas clasificadas como “importantes”, es decir, la categoría más pequeña, sólo son auditadas si hay evidencia de que no cumplen con NIS-2. Me temo que algunas empresas se están arriesgando.

En la segunda parte, la Dra. Matthias Zuchowski explica qué medidas deberían tomar las empresas ahora y presenta un plan de proceso concreto.

Enlace:https://www.gdata.de/blog/2023/12/37844-wer-nis-2-anschaut-findet-parallelen-zur-iso-27001-1Blog de G DATA Stefan Karpenstein

 

 

Artículos recientes

Proyecto Sharp: Nuevo Ladrón De Información En El Mercado Clandestino

  • abril 30, 2024

Mamont: El Troyano Bancario De Android Se Disfraza De Chrome

  • abril 23, 2024

Estafas En Linkedin:Los Ciberdelincuentes Utilizan Estas Estafas En Las Redes Empresariales

  • abril 15, 2024

Madre De Todas Las Infracciones: Una llamada De Atención

  • marzo 20, 2024

STOP Ransomware: Manténgase Alejado de las Descargas Ilegales de Software

  • marzo 5, 2024

Técnicas: Uso Actual de Métodos de Detección de Máquinas Virtuales

  • febrero 27, 2024

La Estafa «ESTA», es Decir, Un Permiso De Viaje Falso a EE.UU.

  • febrero 6, 2024

Mis 6 Predicciones De Seguridad Para 2024…

  • enero 29, 2024

Ataques APT: Una Ciberinvasión Silenciosa De Las Instituciones Globales

  • enero 18, 2024

“Todas Las Empresas Deberían Abordar NIS-2 En Detalle y En Una Fase Temprana”

  • enero 15, 2024

“Si nos fijamos en NIS-2, encontraremos muchos paralelos con ISO 27001”

  • enero 2, 2024

Nueva Variante del Agente Tesla: Archivo ZPAQ Utilizado Para Difundir Malware

  • diciembre 12, 2023