NIS 2
NIS 2
NIS 2
Introducción a la Directiva NIS2 (Seguridad de la Información de Redes): Seguridad de las Redes y Sistemas de Información
16 de septiembre de 2025
El contexto actual y la Directiva NIS2, entre diferencias y continuidad respecto a la ISO 27001
Con una simple búsqueda, podemos observar cómo los ciberataques de diferentes tipos hacia organizaciones de distintos sectores ocurren cada vez con más frecuencia y, lamentablemente, están en aumento.
Según el informe de Exprivia, en 2024 se registraron nada menos que 2.461 casos entre ataques, incidentes y violaciones de la privacidad.
Los grandes avances de la inteligencia artificial en los últimos años han contribuido a proporcionar a los hackers nuevas herramientas para ser cada vez más eficaces (el 30% de estos crímenes, de hecho, utiliza la IA).
También según lo informado por Exprivia, “El análisis de nuestro Observatorio muestra que, a pesar del aumento constante de los ciberataques, en 2024 solo el 24% de ellos causó daños reales, en comparación con el 31% del año anterior: esto demuestra la eficacia de las inversiones en seguridad y de las normativas europeas más estrictas adoptadas a lo largo del tiempo”.
Y es precisamente en este contexto que la UE ha decidido intervenir de manera directa con herramientas como la directiva NIS2 con el fin de invertir a largo plazo en la seguridad informática de los países miembros (y, por ende, de las empresas que operan dentro del territorio europeo).
La normativa europea NIS2 es la directiva que impone medidas de ciberseguridad más severas a las organizaciones públicas y privadas que operan en sectores considerados críticos. Como ya se ha señalado, su objetivo es garantizar la resistencia y protección frente a las amenazas informáticas cada vez más presentes y recurrentes, partiendo de la premisa de que las empresas e instituciones, si cuentan con las herramientas y metodologías adecuadas, pueden defenderse adecuadamente de las amenazas cibernéticas.
La NIS2 nace como revisión y ampliación de la primera directiva NIS, que se promulgó hace ya una década, en 2016. La directiva NIS ya había introducido un marco común y mejores prácticas para el tema de la seguridad de las redes y sistemas informativos, pero era necesario extender su ámbito de aplicación y actualizar su contenido.
De hecho, la NIS2 pretende ampliar las competencias de la anterior directiva NIS, actuando en más sectores, modificando los umbrales de tamaño de las empresas en su perímetro y añadiendo controles de seguridad cada vez más estrictos, alineándose con el desarrollo y crecimiento de los riesgos potenciales.
En nuestro país, la directiva NIS2 fue oficialmente recogida a finales de 2024, con la entrada en vigor de los deberes operativos y controles relacionados. Estos fueron aplicables desde el 1 de enero de 2025 para todos los sujetos clasificados como esenciales o importantes. ACN – Agencia para la Ciberseguridad Nacional es el organismo con poderes de inspección que se encargó de la clasificación en Italia. Con un enfoque en la colaboración con las empresas, la ACN decidió luego posponer el deber de registro de las empresas consideradas esenciales o importantes (que recibieron previamente la calificación directamente de ACN vía PEC) dentro del registro nacional (CSIRT Italia).
El enfoque operativo hoy está en el trabajo de adecuación a implementar rápida y eficazmente para no encontrarse desprevenidos antes de la fecha límite en 2026. De hecho, para evitar sanciones y estar completamente conformes en previsión de enero, las empresas involucradas deberán realizar cambios oportunos. En cuanto a su estructura, la directiva NIS2 se basa en los principios de la certificación ISO 27001 (seguridad informática): desde la lógica de la gestión del riesgo hasta la lógica del ciclo PDCA (Plan-Do-Check-Act). Para profundizar en la certificación ISO 27001, puedes leer aquí nuestro artículo: Introducción a ISO 27001: el Sistema de gestión de la seguridad de los datos e información (SGSI).
En lo que respecta a la certificación ISO 27001, la directiva NIS2 se diferencia introduciendo controles adicionales que tienen como objetivo profundizar y monitorizar determinadas áreas estratégicas.
Algunos ejemplos de estas áreas son la seguridad de la cadena de suministro, las pruebas de resiliencia (a menudo llamadas pruebas de penetración), las obligaciones de notificación de incidentes (con tiempos reducidos en comparación con la directiva anterior) y el área de continuidad del negocio con un foco específico también en la recuperación ante desastres (es decir, la estrategia de la empresa en caso de que ocurra el peor de los casos).
Este estrecho vínculo entre la certificación ISO 27001 y la directiva NIS2, debido a la fuerte superposición de los requisitos, facilita a todas las empresas que ya se hayan certificado previamente. De hecho, la buena noticia es que gran parte del trabajo podría haberse realizado ya.
En caso de que la empresa aún no esté certificada ISO 27001, no hay que perder el ánimo porque la implementación de los controles de la directiva NIS2 utiliza como base de apoyo precisamente la certificación ISO 27001, permitiendo coordinar en un único sistema de gestión todos los requisitos de seguridad exigidos por la NIS2, evitando duplicaciones.
En resumen, adecuándose la estructura empresarial a los requisitos y controles implementados por la directiva NIS2, se obtiene también la plena conformidad con la ISO 27001 (que si se quisiera obtener, solo deberá ser certificada).
¿Cómo apoya la NIS2 a las empresas a nivel práctico?
Como ya se ha dicho, el objetivo último de la directiva NIS2 es aumentar el grado de resiliencia y capacidad común de los Estados miembros para responder a los incidentes informáticos, mediante un modelo de aplicación en cascada (se habla del concepto de cadena de suministro).
A nivel de impacto práctico, las empresas que se encuentran dentro del perímetro identificado por la directiva NIS2 deben adecuarse implementando acciones y controles específicos de seguridad informática:
la evaluación y gestión estructurada (según un esquema preciso) de los riesgos vinculados a la seguridad informática de nuestra empresa;
la definición de procedimientos documentados para la gestión y respuesta a los incidentes informáticos;
la formación del personal sobre seguridad informática (cursos a medida);
incremento del control de la cadena de suministro (filiera), extendiendo los requisitos de seguridad informática a todos los proveedores considerados críticos;
la implementación de planes de continuidad del negocio y recuperación ante desastres;
la adherencia a los nuevos requisitos de notificación rápida de los incidentes a las autoridades competentes (portal a medida para la comunicación).
Reconsiderando el aspecto de desarrollo sinérgico de la directiva NIS2 con la certificación ISO 27001, la obtención de la conformidad con la directiva NIS2 se delineará entonces en dos direcciones diferentes según la presencia de la certificación (y por ende de un sistema de gestión de seguridad de los datos e información - SGSI) como discriminante:
Mi empresa ya está certificada ISO 27001: El enfoque se dirige a los controles adicionales y específicos de la NIS2.
Mi empresa no está certificada ISO 27001: El enfoque hacia la conformidad con NIS2 se desarrolla usando como base la arquitectura del Sistema de gestión de seguridad de los datos e información (SGSI) de la ISO 27001 al que luego se aplican los controles específicos NIS2.
No dudes en contactarnos para obtener más información y asegurarte de estar al tanto.
El contexto actual y la Directiva NIS2, entre diferencias y continuidad respecto a la ISO 27001
Con una simple búsqueda, podemos observar cómo los ciberataques de diferentes tipos hacia organizaciones de distintos sectores ocurren cada vez con más frecuencia y, lamentablemente, están en aumento.
Según el informe de Exprivia, en 2024 se registraron nada menos que 2.461 casos entre ataques, incidentes y violaciones de la privacidad.
Los grandes avances de la inteligencia artificial en los últimos años han contribuido a proporcionar a los hackers nuevas herramientas para ser cada vez más eficaces (el 30% de estos crímenes, de hecho, utiliza la IA).
También según lo informado por Exprivia, “El análisis de nuestro Observatorio muestra que, a pesar del aumento constante de los ciberataques, en 2024 solo el 24% de ellos causó daños reales, en comparación con el 31% del año anterior: esto demuestra la eficacia de las inversiones en seguridad y de las normativas europeas más estrictas adoptadas a lo largo del tiempo”.
Y es precisamente en este contexto que la UE ha decidido intervenir de manera directa con herramientas como la directiva NIS2 con el fin de invertir a largo plazo en la seguridad informática de los países miembros (y, por ende, de las empresas que operan dentro del territorio europeo).
La normativa europea NIS2 es la directiva que impone medidas de ciberseguridad más severas a las organizaciones públicas y privadas que operan en sectores considerados críticos. Como ya se ha señalado, su objetivo es garantizar la resistencia y protección frente a las amenazas informáticas cada vez más presentes y recurrentes, partiendo de la premisa de que las empresas e instituciones, si cuentan con las herramientas y metodologías adecuadas, pueden defenderse adecuadamente de las amenazas cibernéticas.
La NIS2 nace como revisión y ampliación de la primera directiva NIS, que se promulgó hace ya una década, en 2016. La directiva NIS ya había introducido un marco común y mejores prácticas para el tema de la seguridad de las redes y sistemas informativos, pero era necesario extender su ámbito de aplicación y actualizar su contenido.
De hecho, la NIS2 pretende ampliar las competencias de la anterior directiva NIS, actuando en más sectores, modificando los umbrales de tamaño de las empresas en su perímetro y añadiendo controles de seguridad cada vez más estrictos, alineándose con el desarrollo y crecimiento de los riesgos potenciales.
En nuestro país, la directiva NIS2 fue oficialmente recogida a finales de 2024, con la entrada en vigor de los deberes operativos y controles relacionados. Estos fueron aplicables desde el 1 de enero de 2025 para todos los sujetos clasificados como esenciales o importantes. ACN – Agencia para la Ciberseguridad Nacional es el organismo con poderes de inspección que se encargó de la clasificación en Italia. Con un enfoque en la colaboración con las empresas, la ACN decidió luego posponer el deber de registro de las empresas consideradas esenciales o importantes (que recibieron previamente la calificación directamente de ACN vía PEC) dentro del registro nacional (CSIRT Italia).
El enfoque operativo hoy está en el trabajo de adecuación a implementar rápida y eficazmente para no encontrarse desprevenidos antes de la fecha límite en 2026. De hecho, para evitar sanciones y estar completamente conformes en previsión de enero, las empresas involucradas deberán realizar cambios oportunos. En cuanto a su estructura, la directiva NIS2 se basa en los principios de la certificación ISO 27001 (seguridad informática): desde la lógica de la gestión del riesgo hasta la lógica del ciclo PDCA (Plan-Do-Check-Act). Para profundizar en la certificación ISO 27001, puedes leer aquí nuestro artículo: Introducción a ISO 27001: el Sistema de gestión de la seguridad de los datos e información (SGSI).
En lo que respecta a la certificación ISO 27001, la directiva NIS2 se diferencia introduciendo controles adicionales que tienen como objetivo profundizar y monitorizar determinadas áreas estratégicas.
Algunos ejemplos de estas áreas son la seguridad de la cadena de suministro, las pruebas de resiliencia (a menudo llamadas pruebas de penetración), las obligaciones de notificación de incidentes (con tiempos reducidos en comparación con la directiva anterior) y el área de continuidad del negocio con un foco específico también en la recuperación ante desastres (es decir, la estrategia de la empresa en caso de que ocurra el peor de los casos).
Este estrecho vínculo entre la certificación ISO 27001 y la directiva NIS2, debido a la fuerte superposición de los requisitos, facilita a todas las empresas que ya se hayan certificado previamente. De hecho, la buena noticia es que gran parte del trabajo podría haberse realizado ya.
En caso de que la empresa aún no esté certificada ISO 27001, no hay que perder el ánimo porque la implementación de los controles de la directiva NIS2 utiliza como base de apoyo precisamente la certificación ISO 27001, permitiendo coordinar en un único sistema de gestión todos los requisitos de seguridad exigidos por la NIS2, evitando duplicaciones.
En resumen, adecuándose la estructura empresarial a los requisitos y controles implementados por la directiva NIS2, se obtiene también la plena conformidad con la ISO 27001 (que si se quisiera obtener, solo deberá ser certificada).
¿Cómo apoya la NIS2 a las empresas a nivel práctico?
Como ya se ha dicho, el objetivo último de la directiva NIS2 es aumentar el grado de resiliencia y capacidad común de los Estados miembros para responder a los incidentes informáticos, mediante un modelo de aplicación en cascada (se habla del concepto de cadena de suministro).
A nivel de impacto práctico, las empresas que se encuentran dentro del perímetro identificado por la directiva NIS2 deben adecuarse implementando acciones y controles específicos de seguridad informática:
la evaluación y gestión estructurada (según un esquema preciso) de los riesgos vinculados a la seguridad informática de nuestra empresa;
la definición de procedimientos documentados para la gestión y respuesta a los incidentes informáticos;
la formación del personal sobre seguridad informática (cursos a medida);
incremento del control de la cadena de suministro (filiera), extendiendo los requisitos de seguridad informática a todos los proveedores considerados críticos;
la implementación de planes de continuidad del negocio y recuperación ante desastres;
la adherencia a los nuevos requisitos de notificación rápida de los incidentes a las autoridades competentes (portal a medida para la comunicación).
Reconsiderando el aspecto de desarrollo sinérgico de la directiva NIS2 con la certificación ISO 27001, la obtención de la conformidad con la directiva NIS2 se delineará entonces en dos direcciones diferentes según la presencia de la certificación (y por ende de un sistema de gestión de seguridad de los datos e información - SGSI) como discriminante:
Mi empresa ya está certificada ISO 27001: El enfoque se dirige a los controles adicionales y específicos de la NIS2.
Mi empresa no está certificada ISO 27001: El enfoque hacia la conformidad con NIS2 se desarrolla usando como base la arquitectura del Sistema de gestión de seguridad de los datos e información (SGSI) de la ISO 27001 al que luego se aplican los controles específicos NIS2.
No dudes en contactarnos para obtener más información y asegurarte de estar al tanto.
El contexto actual y la Directiva NIS2, entre diferencias y continuidad respecto a la ISO 27001
Con una simple búsqueda, podemos observar cómo los ciberataques de diferentes tipos hacia organizaciones de distintos sectores ocurren cada vez con más frecuencia y, lamentablemente, están en aumento.
Según el informe de Exprivia, en 2024 se registraron nada menos que 2.461 casos entre ataques, incidentes y violaciones de la privacidad.
Los grandes avances de la inteligencia artificial en los últimos años han contribuido a proporcionar a los hackers nuevas herramientas para ser cada vez más eficaces (el 30% de estos crímenes, de hecho, utiliza la IA).
También según lo informado por Exprivia, “El análisis de nuestro Observatorio muestra que, a pesar del aumento constante de los ciberataques, en 2024 solo el 24% de ellos causó daños reales, en comparación con el 31% del año anterior: esto demuestra la eficacia de las inversiones en seguridad y de las normativas europeas más estrictas adoptadas a lo largo del tiempo”.
Y es precisamente en este contexto que la UE ha decidido intervenir de manera directa con herramientas como la directiva NIS2 con el fin de invertir a largo plazo en la seguridad informática de los países miembros (y, por ende, de las empresas que operan dentro del territorio europeo).
La normativa europea NIS2 es la directiva que impone medidas de ciberseguridad más severas a las organizaciones públicas y privadas que operan en sectores considerados críticos. Como ya se ha señalado, su objetivo es garantizar la resistencia y protección frente a las amenazas informáticas cada vez más presentes y recurrentes, partiendo de la premisa de que las empresas e instituciones, si cuentan con las herramientas y metodologías adecuadas, pueden defenderse adecuadamente de las amenazas cibernéticas.
La NIS2 nace como revisión y ampliación de la primera directiva NIS, que se promulgó hace ya una década, en 2016. La directiva NIS ya había introducido un marco común y mejores prácticas para el tema de la seguridad de las redes y sistemas informativos, pero era necesario extender su ámbito de aplicación y actualizar su contenido.
De hecho, la NIS2 pretende ampliar las competencias de la anterior directiva NIS, actuando en más sectores, modificando los umbrales de tamaño de las empresas en su perímetro y añadiendo controles de seguridad cada vez más estrictos, alineándose con el desarrollo y crecimiento de los riesgos potenciales.
En nuestro país, la directiva NIS2 fue oficialmente recogida a finales de 2024, con la entrada en vigor de los deberes operativos y controles relacionados. Estos fueron aplicables desde el 1 de enero de 2025 para todos los sujetos clasificados como esenciales o importantes. ACN – Agencia para la Ciberseguridad Nacional es el organismo con poderes de inspección que se encargó de la clasificación en Italia. Con un enfoque en la colaboración con las empresas, la ACN decidió luego posponer el deber de registro de las empresas consideradas esenciales o importantes (que recibieron previamente la calificación directamente de ACN vía PEC) dentro del registro nacional (CSIRT Italia).
El enfoque operativo hoy está en el trabajo de adecuación a implementar rápida y eficazmente para no encontrarse desprevenidos antes de la fecha límite en 2026. De hecho, para evitar sanciones y estar completamente conformes en previsión de enero, las empresas involucradas deberán realizar cambios oportunos. En cuanto a su estructura, la directiva NIS2 se basa en los principios de la certificación ISO 27001 (seguridad informática): desde la lógica de la gestión del riesgo hasta la lógica del ciclo PDCA (Plan-Do-Check-Act). Para profundizar en la certificación ISO 27001, puedes leer aquí nuestro artículo: Introducción a ISO 27001: el Sistema de gestión de la seguridad de los datos e información (SGSI).
En lo que respecta a la certificación ISO 27001, la directiva NIS2 se diferencia introduciendo controles adicionales que tienen como objetivo profundizar y monitorizar determinadas áreas estratégicas.
Algunos ejemplos de estas áreas son la seguridad de la cadena de suministro, las pruebas de resiliencia (a menudo llamadas pruebas de penetración), las obligaciones de notificación de incidentes (con tiempos reducidos en comparación con la directiva anterior) y el área de continuidad del negocio con un foco específico también en la recuperación ante desastres (es decir, la estrategia de la empresa en caso de que ocurra el peor de los casos).
Este estrecho vínculo entre la certificación ISO 27001 y la directiva NIS2, debido a la fuerte superposición de los requisitos, facilita a todas las empresas que ya se hayan certificado previamente. De hecho, la buena noticia es que gran parte del trabajo podría haberse realizado ya.
En caso de que la empresa aún no esté certificada ISO 27001, no hay que perder el ánimo porque la implementación de los controles de la directiva NIS2 utiliza como base de apoyo precisamente la certificación ISO 27001, permitiendo coordinar en un único sistema de gestión todos los requisitos de seguridad exigidos por la NIS2, evitando duplicaciones.
En resumen, adecuándose la estructura empresarial a los requisitos y controles implementados por la directiva NIS2, se obtiene también la plena conformidad con la ISO 27001 (que si se quisiera obtener, solo deberá ser certificada).
¿Cómo apoya la NIS2 a las empresas a nivel práctico?
Como ya se ha dicho, el objetivo último de la directiva NIS2 es aumentar el grado de resiliencia y capacidad común de los Estados miembros para responder a los incidentes informáticos, mediante un modelo de aplicación en cascada (se habla del concepto de cadena de suministro).
A nivel de impacto práctico, las empresas que se encuentran dentro del perímetro identificado por la directiva NIS2 deben adecuarse implementando acciones y controles específicos de seguridad informática:
la evaluación y gestión estructurada (según un esquema preciso) de los riesgos vinculados a la seguridad informática de nuestra empresa;
la definición de procedimientos documentados para la gestión y respuesta a los incidentes informáticos;
la formación del personal sobre seguridad informática (cursos a medida);
incremento del control de la cadena de suministro (filiera), extendiendo los requisitos de seguridad informática a todos los proveedores considerados críticos;
la implementación de planes de continuidad del negocio y recuperación ante desastres;
la adherencia a los nuevos requisitos de notificación rápida de los incidentes a las autoridades competentes (portal a medida para la comunicación).
Reconsiderando el aspecto de desarrollo sinérgico de la directiva NIS2 con la certificación ISO 27001, la obtención de la conformidad con la directiva NIS2 se delineará entonces en dos direcciones diferentes según la presencia de la certificación (y por ende de un sistema de gestión de seguridad de los datos e información - SGSI) como discriminante:
Mi empresa ya está certificada ISO 27001: El enfoque se dirige a los controles adicionales y específicos de la NIS2.
Mi empresa no está certificada ISO 27001: El enfoque hacia la conformidad con NIS2 se desarrolla usando como base la arquitectura del Sistema de gestión de seguridad de los datos e información (SGSI) de la ISO 27001 al que luego se aplican los controles específicos NIS2.
No dudes en contactarnos para obtener más información y asegurarte de estar al tanto.
El contexto actual y la Directiva NIS2, entre diferencias y continuidad respecto a la ISO 27001
Con una simple búsqueda, podemos observar cómo los ciberataques de diferentes tipos hacia organizaciones de distintos sectores ocurren cada vez con más frecuencia y, lamentablemente, están en aumento.
Según el informe de Exprivia, en 2024 se registraron nada menos que 2.461 casos entre ataques, incidentes y violaciones de la privacidad.
Los grandes avances de la inteligencia artificial en los últimos años han contribuido a proporcionar a los hackers nuevas herramientas para ser cada vez más eficaces (el 30% de estos crímenes, de hecho, utiliza la IA).
También según lo informado por Exprivia, “El análisis de nuestro Observatorio muestra que, a pesar del aumento constante de los ciberataques, en 2024 solo el 24% de ellos causó daños reales, en comparación con el 31% del año anterior: esto demuestra la eficacia de las inversiones en seguridad y de las normativas europeas más estrictas adoptadas a lo largo del tiempo”.
Y es precisamente en este contexto que la UE ha decidido intervenir de manera directa con herramientas como la directiva NIS2 con el fin de invertir a largo plazo en la seguridad informática de los países miembros (y, por ende, de las empresas que operan dentro del territorio europeo).
La normativa europea NIS2 es la directiva que impone medidas de ciberseguridad más severas a las organizaciones públicas y privadas que operan en sectores considerados críticos. Como ya se ha señalado, su objetivo es garantizar la resistencia y protección frente a las amenazas informáticas cada vez más presentes y recurrentes, partiendo de la premisa de que las empresas e instituciones, si cuentan con las herramientas y metodologías adecuadas, pueden defenderse adecuadamente de las amenazas cibernéticas.
La NIS2 nace como revisión y ampliación de la primera directiva NIS, que se promulgó hace ya una década, en 2016. La directiva NIS ya había introducido un marco común y mejores prácticas para el tema de la seguridad de las redes y sistemas informativos, pero era necesario extender su ámbito de aplicación y actualizar su contenido.
De hecho, la NIS2 pretende ampliar las competencias de la anterior directiva NIS, actuando en más sectores, modificando los umbrales de tamaño de las empresas en su perímetro y añadiendo controles de seguridad cada vez más estrictos, alineándose con el desarrollo y crecimiento de los riesgos potenciales.
En nuestro país, la directiva NIS2 fue oficialmente recogida a finales de 2024, con la entrada en vigor de los deberes operativos y controles relacionados. Estos fueron aplicables desde el 1 de enero de 2025 para todos los sujetos clasificados como esenciales o importantes. ACN – Agencia para la Ciberseguridad Nacional es el organismo con poderes de inspección que se encargó de la clasificación en Italia. Con un enfoque en la colaboración con las empresas, la ACN decidió luego posponer el deber de registro de las empresas consideradas esenciales o importantes (que recibieron previamente la calificación directamente de ACN vía PEC) dentro del registro nacional (CSIRT Italia).
El enfoque operativo hoy está en el trabajo de adecuación a implementar rápida y eficazmente para no encontrarse desprevenidos antes de la fecha límite en 2026. De hecho, para evitar sanciones y estar completamente conformes en previsión de enero, las empresas involucradas deberán realizar cambios oportunos. En cuanto a su estructura, la directiva NIS2 se basa en los principios de la certificación ISO 27001 (seguridad informática): desde la lógica de la gestión del riesgo hasta la lógica del ciclo PDCA (Plan-Do-Check-Act). Para profundizar en la certificación ISO 27001, puedes leer aquí nuestro artículo: Introducción a ISO 27001: el Sistema de gestión de la seguridad de los datos e información (SGSI).
En lo que respecta a la certificación ISO 27001, la directiva NIS2 se diferencia introduciendo controles adicionales que tienen como objetivo profundizar y monitorizar determinadas áreas estratégicas.
Algunos ejemplos de estas áreas son la seguridad de la cadena de suministro, las pruebas de resiliencia (a menudo llamadas pruebas de penetración), las obligaciones de notificación de incidentes (con tiempos reducidos en comparación con la directiva anterior) y el área de continuidad del negocio con un foco específico también en la recuperación ante desastres (es decir, la estrategia de la empresa en caso de que ocurra el peor de los casos).
Este estrecho vínculo entre la certificación ISO 27001 y la directiva NIS2, debido a la fuerte superposición de los requisitos, facilita a todas las empresas que ya se hayan certificado previamente. De hecho, la buena noticia es que gran parte del trabajo podría haberse realizado ya.
En caso de que la empresa aún no esté certificada ISO 27001, no hay que perder el ánimo porque la implementación de los controles de la directiva NIS2 utiliza como base de apoyo precisamente la certificación ISO 27001, permitiendo coordinar en un único sistema de gestión todos los requisitos de seguridad exigidos por la NIS2, evitando duplicaciones.
En resumen, adecuándose la estructura empresarial a los requisitos y controles implementados por la directiva NIS2, se obtiene también la plena conformidad con la ISO 27001 (que si se quisiera obtener, solo deberá ser certificada).
¿Cómo apoya la NIS2 a las empresas a nivel práctico?
Como ya se ha dicho, el objetivo último de la directiva NIS2 es aumentar el grado de resiliencia y capacidad común de los Estados miembros para responder a los incidentes informáticos, mediante un modelo de aplicación en cascada (se habla del concepto de cadena de suministro).
A nivel de impacto práctico, las empresas que se encuentran dentro del perímetro identificado por la directiva NIS2 deben adecuarse implementando acciones y controles específicos de seguridad informática:
la evaluación y gestión estructurada (según un esquema preciso) de los riesgos vinculados a la seguridad informática de nuestra empresa;
la definición de procedimientos documentados para la gestión y respuesta a los incidentes informáticos;
la formación del personal sobre seguridad informática (cursos a medida);
incremento del control de la cadena de suministro (filiera), extendiendo los requisitos de seguridad informática a todos los proveedores considerados críticos;
la implementación de planes de continuidad del negocio y recuperación ante desastres;
la adherencia a los nuevos requisitos de notificación rápida de los incidentes a las autoridades competentes (portal a medida para la comunicación).
Reconsiderando el aspecto de desarrollo sinérgico de la directiva NIS2 con la certificación ISO 27001, la obtención de la conformidad con la directiva NIS2 se delineará entonces en dos direcciones diferentes según la presencia de la certificación (y por ende de un sistema de gestión de seguridad de los datos e información - SGSI) como discriminante:
Mi empresa ya está certificada ISO 27001: El enfoque se dirige a los controles adicionales y específicos de la NIS2.
Mi empresa no está certificada ISO 27001: El enfoque hacia la conformidad con NIS2 se desarrolla usando como base la arquitectura del Sistema de gestión de seguridad de los datos e información (SGSI) de la ISO 27001 al que luego se aplican los controles específicos NIS2.
No dudes en contactarnos para obtener más información y asegurarte de estar al tanto.
Obtén, mantén y potencia las certificaciones ISO.
Copyright ©2024 Complaion. Todos los derechos reservados.
Complaion S.r.l., P. IVA 12884580965, Via R. Amundsen 5, Milán.
PEC: part@pec.it, Capital Social: €17.017,18, REA MI-2690509.
Obtén, mantén y potencia las certificaciones ISO.
Copyright ©2024 Complaion. Todos los derechos reservados.
Complaion S.r.l., P. IVA 12884580965, Via R. Amundsen 5, Milán.
PEC: part@pec.it, Capital Social: €17.017,18, REA MI-2690509.
Obtén, mantén y potencia las certificaciones ISO.
Copyright ©2024 Complaion. Todos los derechos reservados.
Complaion S.r.l., P. IVA 12884580965, Via R. Amundsen 5, Milán.
PEC: part@pec.it, Capital Social: €17.017,18, REA MI-2690509.
Obtén, mantén y potencia las certificaciones ISO.
Copyright ©2024 Complaion. Todos los derechos reservados.
Complaion S.r.l., P. IVA 12884580965, Via R. Amundsen 5, Milán.
PEC: part@pec.it, Capital Social: €17.017,18, REA MI-2690509.