Guía práctica para la implementación de NIS2 en ciberseguridad

La Directiva NIS2 establece que los Estados miembros de la Unión Europea deben implementar requisitos específicos para la gestión de riesgos en ciberseguridad a nivel nacional, centrados en sectores críticos como las infraestructuras digitales, la energía, el transporte y la salud. En este contexto, la regulación de implementación 2024/2690 de la Comisión Europea define las medidas necesarias para los sectores de Infraestructura Digital y gestión de servicios TIC.

En respuesta a esta normativa, la Agencia Europea de Ciberseguridad (ENISA) ha publicado una guía técnica destinada a apoyar a las empresas en la aplicación de estas regulaciones. Según Juhan Lepassaar, Director Ejecutivo de ENISA, “la implementación de NIS2 es una prioridad máxima para nuestra agencia. Estamos trabajando para lograr una mayor alineación y simplificación mediante el desarrollo de directrices prácticas y técnicas que fortalezcan la ciberseguridad en los sectores críticos europeos”.

Requisitos Clave del NIS2

Esta guía técnica fue elaborada en colaboración con el grupo de cooperación NIS y la Comisión, incorporando comentarios del sector privado a través de una consulta abierta. El documento abarca múltiples requisitos en materia de ciberseguridad establecidos por la regulación NIS2, incluyendo:

• Política sobre la seguridad de sistemas y redes de información
• Política de gestión de riesgos
• Manejo de incidentes
• Continuidad del negocio y gestión de crisis
• Seguridad en la cadena de suministro
• Seguridad en adquisición, desarrollo y mantenimiento de sistemas y redes
• Evaluación de efectividad en medidas de gestión de riesgos cibernéticos
• Prácticas básicas de higiene cibernética y capacitación en seguridad
• Cifrado
• Seguridad en recursos humanos
• Control de acceso
• Gestión de activos
• Seguridad ambiental y física

Abarcando desde proveedores DNS hasta plataformas comerciales online, esta guía no tiene carácter vinculante ni pretende sustituir los marcos o herramientas nacionales. Las empresas afectadas por NIS2 deben consultar primero a las autoridades locales para comprender sus obligaciones.

Ciberseguridad y Desarrollo Profesional en Europa

A fin de fomentar el desarrollo profesional en ciberseguridad dentro del marco europeo, ENISA ha creado el Marco Europeo de Competencias en Ciberseguridad (ECSF). Este marco busca abordar uno de los desafíos más importantes: fortalecer las habilidades cibernéticas entre los trabajadores. Para cumplir con la Directiva NIS2, las empresas deberán definir roles y responsabilidades específicas en ciberseguridad.

A su vez, ENISA ha publicado un documento que detalla las competencias necesarias para implementar las medidas del NIS2. Este documento ofrece un mapeo exhaustivo entre las obligaciones del NIS2 y los perfiles relevantes del ECSF, asignando tareas específicas a cada rol e incluyendo casos prácticos.

• Guía Técnica (y archivo Excel con mapeo a estándares)
• Consulta pública sobre directrices técnicas ENISA para medidas NIS2 | ENISA
• Documento sobre roles y habilidades necesarias para profesionales en ciberseguridad según NIS2
• Nuevas reglas para mejorar la ciberseguridad | Estrategia Digital Europea
• Ciberseguridad en Sectores Críticos | ENISA
• Directiva NIS 2 | ENISA
• Perfiles del Marco Europeo de Competencias en Ciberseguridad | ENISA
• Marco Europeo de Competencias en Ciberseguridad (ECSF) | ENISA