Página web
Volver a la descripción general

Directiva NIS2

La Directiva NIS2 es una directiva europea de ciberseguridad que entró en vigor en enero de 2023 y sustituye a su predecesora NIS1 de 2016. Obliga a empresas y organizaciones en sectores críticos e importantes a implantar una gestión integral de riesgos para sus infraestructuras de TI, notificar incidentes de seguridad y cumplir requisitos mínimos en materia de ciberseguridad. En comparación con la versión anterior, NIS2 amplía considerablemente el círculo de organizaciones afectadas y establece sanciones significativamente más severas en caso de incumplimiento.

El aspecto central de la Directiva NIS2 es la obligación de gestión activa de riesgos. Las organizaciones afectadas no solo deben implementar medidas de protección técnicas, sino también demostrar que identifican, evalúan y tratan los riesgos de seguridad de forma sistemática. Esto incluye medidas para la protección de cadenas de suministro, el control de accesos, el cifrado y la seguridad de dispositivos finales y redes.

Para las empresas y organismos públicos sujetos a NIS2, la directiva implica sobre todo una cosa: la seguridad de TI, gestionada hasta ahora a menudo de forma informal, debe transformarse en procesos estructurados y documentables. La gestión de dispositivos móviles pasa a ocupar un lugar central, ya que smartphones, tablets y portátiles se utilizan con frecuencia fuera de entornos de red protegidos y representan por tanto un mayor potencial de ataque que debe abordarse desde el punto de vista regulatorio.

El valor añadido esencial de una gestión estructurada de dispositivos en el contexto de NIS2 reside en la capacidad de demostrar el cumplimiento. Las organizaciones deben poder acreditar, en caso necesario, que sus dispositivos estaban configurados de forma conforme, actualizados y protegidos contra accesos no autorizados. Una solución de gestión centralizada proporciona exactamente esta documentación de forma automática y a prueba de auditorías.

NIS2 plantea requisitos técnicos y organizativos concretos que solo pueden cumplirse de forma sostenida cuando los dispositivos se gestionan y protegen sistemáticamente. Quien apuesta por un enfoque conforme con el RGPD y operable on-premises cumple al mismo tiempo los requisitos de soberanía digital.