NIS 2

¿Qué es la Directiva NIS 2?

La Directiva NIS 2, conocida oficialmente como Directiva (UE) 2022/2555, supone una mejora significativa respecto a su predecesora, la Directiva NIS original. Su objetivo es establecer un alto nivel común de ciberseguridad en todos los Estados miembros de la UE. La directiva se adoptó para hacer frente a la creciente variedad y sofisticación de las ciberamenazas y reforzar la resistencia general de las redes y sistemas de información de la UE.Los cambios clave introducidos por la Directiva NIS 2 incluyen una ampliación del alcance de los sectores y entidades cubiertos. A diferencia de la directiva original, que se centraba principalmente en sectores como la sanidad, la energía, el transporte y las finanzas, la NIS 2 se extiende a sectores adicionales como los servicios postales y de mensajería, la gestión de residuos y la administración pública. Además, la directiva impone requisitos más estrictos de seguridad y notificación de incidentes, que reflejan la necesidad de normas de seguridad más estrictas frente a las ciberamenazas avanzadas.

¿Por qué es importante para tu empresa la Directiva NIS 2?

  1. Medidas de ciberseguridad reforzadas: La Directiva NIS 2 impone una rigurosa gestión de los riesgos de ciberseguridad y obligaciones de información. Estos requisitos están diseñados para garantizar que las entidades, especialmente las consideradas esenciales o importantes, mantengan una sólida defensa contra las perturbaciones cibernéticas. Esto es fundamental para la sostenibilidad y la seguridad de las operaciones en la era digital actual.
  2. Cumplimiento de los requisitos legales: Cumplir la Directiva NIS 2 no sólo es una obligación legal para las entidades incluidas en su ámbito de aplicación, sino también un paso crucial para protegerse de las posibles sanciones y daños a la reputación que podrían derivarse de su incumplimiento. La directiva incluye mecanismos de aplicación estrictos, como multas más elevadas y una supervisión reglamentaria más estricta, para garantizar el cumplimiento de sus disposiciones.
  3. Reforzar la resistencia a los ciberataques: La directiva destaca la importancia de la ciberseguridad como pilar de la resiliencia operativa. Al cumplir la NIS 2, las empresas mejoran su capacidad de prevenir, detectar y responder a los ciberincidentes con rapidez y eficacia. Esta mejora de la resistencia es vital para mantener la confianza y garantizar el buen funcionamiento de los servicios críticos de los que depende la sociedad.
  4. Oportunidades de mejora empresarial: Más allá del cumplimiento, la directiva anima a las organizaciones a adoptar medidas avanzadas de ciberseguridad, que pueden impulsar la eficacia operativa y la innovación. Centrarse en la gestión de riesgos y la seguridad también puede dar lugar a procesos empresariales mejorados y a una ventaja competitiva en sectores en los que la confianza y la seguridad son primordiales.

En general, la Directiva NIS 2 sirve de piedra angular para las prácticas modernas de ciberseguridad en la UE. Al cumplir sus requisitos, las empresas no sólo se adhieren a las normas legales, sino que también mejoran significativamente su postura de ciberseguridad, contribuyendo a su éxito y sostenibilidad a largo plazo en un mundo cada vez más digital.

Soluciones a medida: Paquetes de conformidad NIS 2

Potencia tu empresa con estrategias de protección y cumplimiento personalizadas

Bundle #1 – NIS2 Awareness, Training & Incident Response

Manual de Respuesta a Incidentes
  • Libro de jugadas a medida: Libro de jugadas personalizado de respuesta a incidentes diseñado para sectores, actividades y tipos de empresa específicos.
  • Formación y educación: Programas educativos completos para dotar a tu equipo de conocimientos y habilidades para la ciberseguridad.
  • Horas de asistencia: Un paquete de 40 horas de soporte del equipo Kaspersky para ayudar durante incidentes o para análisis forenses.
Simulación de protección interactiva de Kaspersky
  • Sesión de concienciación gamificada: Una atractiva sesión gamificada que utiliza la simulación para enseñar a responder a incidentes.
  • Equipos multidisciplinares: Adecuado para equipos diversos, incluidos ejecutivos, informáticos y personal de tecnología operativa.
  • Capacidad de participantes: Acomoda hasta 100 participantes.
  • Certificación: Los participantes recibirán un certificado al finalizar.

Bundle #2 – NIS2 System and Network Development, Acquisition & Maintenance

Evaluación de la seguridad del ICS
  • Pruebas de penetración por capas: Pruebas de penetración exhaustivas en varias capas, como la red, el hardware y el software.
  • Pruebas de caja blanca y negra: Metodologías de prueba rigurosas para examinar la seguridad del sistema tanto desde los puntos conocidos como desde los ciegos.
  • Capacidad de evaluación de TI y OT: Competente en la realización de evaluaciones detalladas tanto a nivel de Tecnología de la Información (TI) como de Tecnología Operativa (TO).
  • Identificación de vulnerabilidades específicas: Experiencia en la identificación de vulnerabilidades precisas en tus sistemas y redes.
KICS XDR
  • Plataforma KICS integrada: Una solución KICS de espectro completo que abarca la integridad de la red y de los nodos, incluyendo:
    • EDR específico de OT: Detección y Respuesta de Puntos Finales adaptada a la seguridad de los puntos finales de OT.
  • IDS y NTA: Sistema de Detección de Intrusos y Análisis del Tráfico de Red para la visibilidad y supervisión de la red OT.
  • Gestión centralizada: Supervisión racionalizada de tu entorno de ciberseguridad para una eficacia y respuesta óptimas.

Bundle #3 – NIS2 Basic Awareness Package

Simulación de protección interactiva de Kaspersky
  • Sesión de Sensibilización Gamificada: Un juego basado en la simulación diseñado para concienciar y formar a los participantes en la respuesta a incidentes.
  • Compromiso multidisciplinar: Adecuado para equipos de todo tipo, incluidos ejecutivos, informáticos y profesionales de OT.
  • Amplia participación: Puede acoger hasta 100 personas.
  • Certificación: Confiere un certificado al finalizar con éxito.
Formación Básica en Ciberseguridad Industrial Kaspersky
  • Formación en ciberseguridad OT: Una sesión de 3 horas adaptada a diversos roles, incluidos profesionales y ejecutivos de TI/OT.
  • Nivel: Principiante, por lo que es accesible para todos los niveles de conocimiento.
  • Tamaño del grupo: Diseñado para grupos pequeños o medianos, de 10 a 25 participantes.
  • Entrega flexible: Disponible en formato presencial y a distancia para adaptarse a las necesidades de tu equipo.

Bundle #4 – NIS2 Full Awareness Program

Simulación de protección interactiva de Kaspersky
  • Sesión de Concienciación Gamificada: Atractivo juego basado en simulación diseñado para aprender y practicar la respuesta a incidentes.
  • Aplicabilidad interfuncional: Ideal para grupos diversos, incluidos ejecutivos, informáticos y profesionales de OT.
  • Capacidad: Admite hasta 100 participantes en una sesión.
  • Certificación proporcionada: Los participantes recibirán un certificado de finalización.
Formación Básica en Ciberseguridad Industrial Kaspersky
  • Formación en ciberseguridad OT: Un curso introductorio de 3 horas sobre ciberseguridad en OT adaptado a diversas funciones.
  • Nivel de experiencia: Nivel principiante, perfecto para participantes de todos los niveles de conocimiento.
  • Tamaño del grupo: Óptimo para grupos de 10 a 25 participantes.
  • Método de entrega: Opciones flexibles con sesiones de formación presenciales o a distancia.
Plataforma de Concienciación de Seguridad Automatizada de Kaspersky (KASAP)
  • Concienciación automatizada sobre ciberseguridad: Una plataforma automatizada integral para la formación en concienciación sobre ciberseguridad.
  • Módulos de aprendizaje personalizados: Incluye varios módulos con planes personalizados según el nivel y la función, incluidas simulaciones de campañas de phishing.
  • Capacidad de usuarios: Diseñado para hasta 100 usuarios, lo que garantiza un amplio alcance dentro de tu organización.

Bundle #5 – NIS2 Threat Intelligence Suite

Inteligencia de la Huella Digital (IHD)
  • Vigilancia de activos de datos: Vigilancia continua de la exposición de los activos y de las fugas de datos.
  • Vigilancia de la Dark Web: Seguimiento y vigilancia en plataformas y foros de la web oscura.
  • Informes periódicos: Informes actualizados periódicamente basados en descubrimientos de inteligencia para mantenerte informado.
Informes de Inteligencia sobre Amenazas ICS de Kaspersky
  • Informes anuales del sector OT: Suscripción de un año que proporciona informes especializados para el sector OT.
  • Perspectivas accesibles: Accede a informes detallados, resúmenes ejecutivos e IoC recién descubiertos a través de la plataforma TIP de Kaspersky.
Fuentes de datos sobre amenazas
  • Integración de Inteligencia sobre Amenazas: Alimentación de datos sobre amenazas (IoC y metadatos) para reforzar las capacidades de detección de las herramientas de ciberseguridad (SIEM, EPP/EDR, cortafuegos, IDS/IPS, etc.).
  • Hashes maliciosos: Fuentes de datos de amenazas específicas de Kaspersky ICS dirigidas a hashes de archivos maliciosos.
  • Fuente de vulnerabilidades: Completos feeds que detallan las vulnerabilidades que afectan a sistemas y software.
  • Datos de URL de IoT: Fuentes especializadas para proteger contra las amenazas basadas en IoT y las URL maliciosas.

Bundle #6 – OT Cyber Starter Pack

Simulación de protección interactiva de Kaspersky
  • Juego interactivo de aprendizaje: Un juego de simulación diseñado para aumentar la concienciación y entrenar para la respuesta a incidentes.
  • Formación versátil: Ideal para grupos diversos, incluidos ejecutivos, informáticos y profesionales de OT.
  • Participación a gran escala: Permite hasta 100 participantes por sesión.
  • Certificación concedida: Se expiden certificados a los participantes al finalizar.
KICS para Nodos
  • Licencia de servidor EDR para Nodos: Ofrece licencias de servidor de Detección y Respuesta de Puntos Finales KICS for Nodes, disponibles en plazos de 1 ó 3 años.
  • Licencia de servidor EDR para estaciones de trabajo: Suministro de licencias de servidor EDR de KICS para estaciones de trabajo, también en duraciones de 1 ó 3 años.
  • MSA de Empresa: Se incluye un Contrato Marco de Servicios de Empresa, en el que se describen los términos y condiciones del servicio.

Bundle #7 – NIS2 High Compliance Package

Inteligencia de la Huella Digital (IHD)
  • Supervisión de activos: Supervisión continua de la exposición de activos y fugas de datos.
  • Vigilancia en la web oscura: Vigilancia proactiva en entornos y foros de la web oscura.
  • Acceso a informes: Acceso regular a informes completos basados en los últimos hallazgos de inteligencia.
Manual de Respuesta a Incidentes
  • Libro de jugadas personalizado: Un manual de respuesta a incidentes a medida, diseñado para sectores, actividades y tipos de empresa específicos.
  • Formación y capacitación: Sesiones de formación exhaustivas para dotar a tu equipo de las habilidades necesarias para la gestión de incidentes.
  • Paquete de soporte: 40 horas de soporte por parte del equipo de Kaspersky para soporte de incidentes o análisis forense.
Simulación de protección interactiva de Kaspersky
  • Sesión de Concienciación Gamificada: Una simulación inmersiva basada en el juego para una mayor concienciación en la respuesta a incidentes.
  • Implicación multidisciplinar: Adecuado para una amplia gama de equipos, incluidos ejecutivos, informáticos y profesionales de OT.
  • Amplia participación: Pueden participar hasta 100 personas.
  • Certificación proporcionada: Los participantes recibirán una certificación al finalizar con éxito.

Bundle #8 – NIS2 System and Network Acquisition, Development & Maintenance

KICS XDR
  • Plataforma KICS completa: Una solución KICS completa (Redes y Nodos) que ofrece visibilidad total del entorno OT y capacidades mejoradas de detección y respuesta a través de múltiples vectores de ataque.
  • EDR específico de OT: Detección y Respuesta de Puntos Finales adaptada a las necesidades únicas de los puntos finales de OT.
  • IDS y NTA: Sistema Avanzado de Detección de Intrusos y Análisis del Tráfico de Red para la visibilidad y vigilancia de la red OT.
  • Agente de Integración: Facilita la transmisión de telemetría, la visibilidad enriquecida, los escaneos de vulnerabilidades específicos en endpoints y elementos de red, y las capacidades de respuesta en endpoints.
  • Gestión centralizada: Control racionalizado para una postura de seguridad integrada en toda la red de la organización.

Entidades y sectores afectados por la Directiva NIS 2

La Directiva NIS 2 amplía significativamente el ámbito de aplicación en comparación con su predecesora, abarcando una gama más amplia de sectores e introduciendo categorías más definidas de entidades que deben cumplir su normativa. Aquí tienes un desglose detallado de quién debe adherirse a la Directiva NIS 2:

1. Entidades esenciales e importantes

La directiva distingue entre entidades «esenciales» e «importantes», ambas sujetas a obligaciones específicas de ciberseguridad:

  • Entidades Esenciales: Incluyen entidades que son vitales para el mantenimiento de actividades sociales o económicas críticas. La designación de entidades esenciales incluye, entre otras:

    • Sectores: Energía, transporte, banca, infraestructuras de los mercados financieros, sanidad, suministro y distribución de agua potable, infraestructuras digitales y administración pública.
    • Servicios: Gestión de servicios TIC, proveedores de servicios de confianza y proveedores de servicios DNS.
    • Organizaciones: Entidades cubiertas por la Directiva de Resiliencia de Entidades Críticas (RCE), redes públicas de comunicación electrónica y otras entidades especificadas por los Estados miembros.
  • Entidades importantes: Son entidades que no están clasificadas como esenciales, pero que siguen siendo críticas para la sociedad o la economía. Los criterios para las entidades importantes se centran en el tamaño y el impacto, incluyendo generalmente a organizaciones medianas y grandes dentro de los sectores cubiertos por la directiva.

2. Ampliación de la cobertura sectorial

La Directiva NIS 2 amplía significativamente su alcance a diversos sectores, reflejando la creciente interconectividad y dependencia de las tecnologías digitales:

  • Sectores originales: Incluye los sectores cubiertos inicialmente por la Directiva SRI, como la energía, el transporte, la sanidad y los servicios financieros.
  • Nuevos sectores añadidos:
    • Sectores público y privado: Servicios postales y de mensajería, gestión de residuos, fabricación, producción y uso de productos químicos y producción de alimentos.
    • Servicios digitales: Servicios de computación en nube, mercados en línea y motores de búsqueda. La inclusión de los proveedores de servicios digitales pone de manifiesto el reconocimiento por parte de la UE del papel fundamental que desempeñan estos servicios en la economía digital.
    • Investigación y Desarrollo: Entidades implicadas en la investigación y el desarrollo en el contexto de la seguridad nacional y la resistencia económica.

3. Requisitos específicos de cumplimiento

La Directiva NIS 2 establece requisitos de cumplimiento específicos basados en la clasificación de la entidad como esencial o importante:

  • Gestión de riesgos de ciberseguridad: Las entidades deben aplicar medidas técnicas y organizativas adecuadas para gestionar los riesgos que se plantean para la seguridad de los sistemas de red y de información.
  • Notificación de incidentes: Las entidades están obligadas a notificar rápidamente los ciberincidentes significativos con información detallada, siguiendo las directrices establecidas por la directiva. Este proceso está diseñado para normalizar la notificación de incidentes en toda la UE, garantizando una respuesta rápida y eficaz a las ciberamenazas.

4. Proporcionalidad y adaptación

La directiva también introduce disposiciones para garantizar la proporcionalidad y la adaptación a las necesidades y circunstancias específicas de las distintas entidades. Esto incluye la flexibilidad para que los Estados miembros especifiquen entidades y sectores adicionales en función de las evaluaciones de riesgo nacionales.

El ámbito de aplicación ampliado y los estrictos requisitos de la Directiva NIS 2 reflejan un enfoque proactivo y global de la UE para mejorar la ciberseguridad en un amplio espectro de sectores y entidades. Al identificar y clasificar las entidades como esenciales o importantes, la directiva garantiza que un amplio abanico de organizaciones aplique prácticas de ciberseguridad sólidas, salvaguardando así la seguridad digital y económica de Europa frente a las ciberamenazas en evolución.