NIS2 + DORA en las soluciones de seguridad de Microsoft

NIS2 + DORA en las soluciones de seguridad de Microsoft

PorRamón Rautenstrauch (CMO en DQS) Publicado el

La importancia de NIS2 y DORA sigue siendo significativa a pesar de los posibles retrasos en sus fechas de lanzamiento respectivas.

Tanto NIS2 como DORA son cruciales para garantizar la seguridad y la resiliencia del ecosistema digital de la UE.

NIS2 mejora la ciberseguridad en sectores críticos, mientras que DORA garantiza la resiliencia operativa de los proveedores de servicios digitales, especialmente en el sector financiero, basándose en lo que establece NIS2. Juntas, conforman un marco de trabajo integral para protegerse del cambiante panorama de ciberamenazas y mantener la integridad de los servicios esenciales.

Dicho esto, nadie a día hoy está totalmente preparado y DQS te puede apoyar con asesoramiento, integración e implementación.

Contenidos mostrar

NIS2

La directiva NIS2 es muy completa, y eso significa que las organizaciones deben contar con medidas de seguridad sólidas.
La directiva NIS2 es muy completa, y eso significa que las organizaciones deben contar con medidas de seguridad sólidas.

NIS2 es la nueva directiva europea de ciberseguridad que exigirá a las organizaciones que definan medidas de seguridad básicas para mitigar el riesgo de ciberataques y mejorar el nivel general de ciberseguridad en la UE (o en aquellas empresas que hacen negocios con la UE). Entrará en vigor en octubre de 2024 y es la legislación más completa hasta la fecha.

Las soluciones de Seguridad de Microsoft se han diseñado para que las organizaciones puedan administrar mejor los riesgos de seguridad, protegerse de los ciberataques y minimizar el impacto de los incidentes de ciberseguridad. Los principios de Confianza cero y el enfoque de plataforma de Microsoft concuerdan bien con los objetivos de NIS2 para que las organizaciones puedan comenzar a prepararse para NIS2 hoy mismo.

¿Por qué NIS1 se ha  ampliado a NIS2?

Los ciberataques son una de las formas de delincuencia de más rápido crecimiento en todo el mundo. También están creciendo en escala, coste y sofisticación. Los incidentes de seguridad de datos son cada vez más comunes. Por ejemplo, según el Índice de seguridad de datos de Microsoft de 2023, las organizaciones encuestadas sufrieron 59 incidentes de seguridad de datos en el último año, de los cuales el 20 % fueron de carácter grave. Y el 74 % de las organizaciones han sufrido exposición de datos empresariales en el último año.

No solo las empresas, sino también los ciudadanos y países enteros se han visto afectados; el primer ciberataque conocido contra un país se produjo en Estonia en abril de 2007, y afectó a los servicios en línea de bancos, medios de comunicación y organismos gubernamentales durante semanas. Desde entonces, muchos otros países han sufrido ciberataques, incluso en infraestructuras críticas, como sistemas de energía eléctrica, hospitales o plantas de agua.

La pandemia del coronavirus ha provocado una aceleración imprevista en la transformación digital de las sociedades de todo el mundo. Sin embargo, también ha exacerbado los problemas existentes, como la brecha digital, y ha contribuido a un aumento global de los incidentes de ciberseguridad. Durante esta situación sin precedentes, se ha producido un aumento de la ciberactividad malintencionada en los Estados miembros, como revela un reciente informe de Europol. Los problemas de ciberseguridad se están convirtiendo en una lucha cotidiana para la UE. Según los informes de seguimiento de la Agencia Europea para la Seguridad de la Información de las Redes (ENISA, por sus siglas en inglés), la ciberdelincuencia se está monetizando cada vez más, especialmente en el caso de los grandes ciberataques que utilizan ransomware. Del mismo modo, el aumento del comercio electrónico y los pagos sin dinero en metálico conllevan mayores riesgos de ciberataques y vulneraciones de la ciberseguridad. Con el aumento de los pagos sin dinero en efectivo también ha aumentado el robo en línea, de dinero y de datos personales. Se prevé que esta tendencia siga aumentando en paralelo a los avances tecnológicos como la proliferación de dispositivos vinculados al Internet de las cosas (IoT). En un mundo cada vez más conectado, en el que se prevé que se utilicen 22.300 millones de dispositivos IoT para 2024, los crecientes retos en el panorama de la ciberseguridad han llevado a la UE a reflexionar sobre cómo mejorar la protección de sus ciudadanos y empresas frente a las ciberamenazas y los ataques.

Por último, NIS2 exige a las empresas que evalúen la eficacia de sus medidas de seguridad, que se sometan a formación periódica en ciberseguridad y practiquen una higiene informática básica.

NIS2 es un marco integral para mejorar la ciberseguridad en un amplio conjunto de industrias y sectores. Al implementar estas medidas mínimas, las empresas pueden protegerse mejor de las ciberamenazas y garantizar la seguridad de sus operaciones y datos.

Fechas de NIS2

NIS2 entró en vigor el 16 de enero de 2023 y se debe aplicar a más tardar  el 17 de octubre de 2024 Afecta a entidades importantes y esenciales.

¿A quién afecta NIS2?

La directiva NIS2 exige  a los sectores que  prestan servicios de alta  criticidad o servicios críticos relacionados con  las infraestructuras de la UE que apliquen las  medidas adecuadas para  minimizar los posibles  incidentes, abarcando  todos los aspectos de la seguridad.

Las directrices describen los sectores que son «muy críticos» y otros que son «críticos» en el marco de la NIS2.

Los sectores muy críticos incluyen energía, transporte, salud e infraestructura digital como proveedores de servicios en la nube.

Según el documento del 14 de septiembre de la Comisión Europea, los países deben proporcionar una lista de las entidades esenciales antes del 17 de abril de 2025, con actualizaciones al menos cada dos años a partir de entonces.

Sectores muy críticos: Energía, Transporte, Banca, Espacio, Infraestructuras de mercados financieros, Sector sanitario, Agua potables, Administración Pública, Aguas residuales, Infraestructura digital y Administración de servicios de TI.

Sectores críticos: Alimentación, Gestión de residuos, Productos químicos, Servicios postales y de mensajería, Fabricación de dispositivos médicos, Proveedores digitales y Organizaciones de investigación.

El equipo directivo puede ser considerado responsable

  • Administrar el riesgo de seguridad: Garantizar que se lleven a cabo evaluaciones de
    riesgos de ciberseguridad.
  • Protegerse de los ciberataques: Implementar medidas técnicas y organizativas.
  • Detectar incidentes de ciberseguridad: Mantenerse al tanto  de la ciberseguridad a través de programas  de formación y gestión  de riesgos.
  • Minimizar el impacto de los incidentes de ciberseguridad: Gestionar los riesgos  de forma adecuada.

Las consecuencias de no hacerlo podrían ser:

  • Multa de >10 millones de euros o el 2 % de la facturación anual global para las entidades esenciales y de >1,7 millones de euros o el 1,4 % de la facturación anual global para las entidades importantes

El equipo directivo puede ser considerado responsable del incumplimiento de estas obligaciones.

Cómo pueden ayudar las soluciones de Seguridad de Microsoft a implementar NIS2

Microsoft entiende  la importancia de la ciberseguridad y la necesidad  de cumplir los marcos normativos como NIS2.

Las soluciones basadas  en la nube de Microsoft proporcionan una plataforma segura y fiable para administrar y proteger tus datos y sistemas. Con las funciones avanzadas de protección contra amenazas, puedes detectar y responder a posibles amenazas antes de que causen daños.

  • Microsoft ha estado a la vanguardia del desarrollo de soluciones avanzadas de ciberseguridad para ayudar a proteger a los clientes y sus negocios.
  • Con las soluciones basadas en la nube de Microsoft y como socio de Microsoft, podemos ayudarte a obtener una plataforma segura para administrar y proteger tus datos y sistemas.
  • Las funciones avanzadas de protección contra amenazas pueden detectar y responder a posibles amenazas antes de que causen daños.
  • Las soluciones de administración de identidad y acceso pueden ayudar a garantizar que solo el personal autorizado pueda acceder a los datos y sistemas confidenciales.
  • Podemos proporcionarte herramientas y directrices que te ayuden a cumplir las medidas mínimas exigidas por NIS2, como la realización de evaluaciones de riesgos, la implementación de procedimientos de seguridad y la creación de planes de respuesta a incidentes.
  • Nuestro equipo de expertos en ciberseguridad está aquí para trabajar contigo para evaluar tu posición de seguridad actual y desarrollar un plan de seguridad personalizado adaptado a tus necesidades específicas.
  • Con DQS como socio de confianza, puedes tener la tranquilidad de saber que tus sistemas y datos están protegidos por las soluciones de seguridad de Microsoft líderes del sector.

Somos un socio de Microsoft con una sólida práctica de seguridad y una amplia experiencia en aplicar medidas de seguridad básicas a empresas como la tuya. Sabemos que NIS2 puede plantear desafíos complejos, y estamos aquí para ayudarte a aprovechar las soluciones integrales de seguridad de Microsoft que pueden ayudarte a lograr y mantener el cumplimiento.

Resume o comparte este contenido a través de:
Ramón Rautenstrauch (CMO en DQS)

r.rautenstrauch@dqsconsulting.com
LinkedIN · Consultor 365

Publicaciones Similares

¿Te ha parecido interesante? ¿Tienes dudas sobre el contenido?
Para cualquier pregunta ponte en contacto con nosotros.