En virtud de la Directiva NIS2, los Estados miembros de la UE establecen requisitos para las medidas de gestión de riesgos de ciberseguridad a nivel nacional en sectores críticos, como las infraestructuras digitales, la energía, el transporte o la salud. Para los sectores de la infraestructura digital NIS2 y la gestión de servicios TIC, estos requisitos de ciberseguridad se definen a nivel de la UE mediante el Reglamento de Ejecución 2024/2690 de la Comisión, de 17 de octubre de 2024. ENISA publica ahora una guía técnica para ayudar a las empresas de estos sectores en la implementación de este reglamento.
Esta guía técnica de ENISA
se desarrolló en colaboración con el grupo de cooperación NIS y la Comisión, y recopilamos comentarios del sector privado a través de una consulta abierta.
El documento proporciona orientación sobre los siguientes requisitos de ciberseguridad del Reglamento de implementación NIS2:
- Política de seguridad de las redes y sistemas de información
- Política de gestión de riesgos
- Manejo de incidentes
- Continuidad de negocio y gestión de crisis
- Seguridad de la cadena de suministro
- Seguridad en la adquisición, desarrollo y mantenimiento de redes y sistemas de información
- Políticas y procedimientos para evaluar la eficacia de las medidas de gestión de riesgos de ciberseguridad
- Prácticas básicas de higiene cibernética y capacitación en seguridad
- Criptografía
- Seguridad de los recursos humanos
- Control de acceso
- Gestión de activos
- Seguridad ambiental y física
En el ámbito de aplicación del reglamento de aplicación del NIS y de esta directriz técnica se encuentran los proveedores de DNS, los registros de TLD, los proveedores de servicios de computación en la nube, los proveedores de servicios de centros de datos, los proveedores de redes de distribución de contenido, los proveedores de servicios gestionados y los proveedores de servicios de seguridad gestionados, los proveedores de mercados en línea, los motores de búsqueda en línea y las plataformas de servicios de redes sociales, y los proveedores de servicios de confianza.
La guía de implementación no es un documento jurídicamente vinculante y no pretende sustituir los marcos, las directrices ni las herramientas proporcionados por los Estados miembros a nivel nacional. Las empresas incluidas en el ámbito de aplicación de la NIS2 deben consultar previamente con las autoridades nacionales de su país para comprender sus obligaciones.
Vinculación de las medidas de seguridad del NIS2 con el Marco Europeo de Competencias en Ciberseguridad
Para apoyar a la UE en el desarrollo de competencias en ciberseguridad, ENISA desarrolló el Marco Europeo de Competencias en Ciberseguridad. Desarrollar competencias en ciberseguridad en la plantilla supone un reto importante para muchas empresas. Para implementar la Directiva NIS2, las empresas deben definir las funciones y responsabilidades en materia de ciberseguridad. ENISA publica una guía sobre las competencias y funciones de los profesionales de la ciberseguridad necesarias para implementar las medidas NIS2. Basada en el Marco Europeo de Competencias en Ciberseguridad (ECSF), esta guía ofrece una correlación detallada de las obligaciones NIS2 con los perfiles de funciones relevantes del ECSF. Cada función se asigna a sus tareas específicas, e incluye casos prácticos.
