Fuente: INCIBE
Cumplimiento de las medidas técnicas, operativas y de organización
Según el art. 21.1 “Los Estados miembros velarán por que las entidades esenciales e importantes tomen las medidas técnicas, operativas y de organización adecuadas y proporcionadas para gestionar los riesgos que se planteen para la seguridad de los sistemas de redes y de información que utilizan dichas entidades en sus operaciones o en la prestación de sus servicios y prevenir o minimizar las repercusiones de los incidentes en los destinatarios de sus servicios y en otros servicios.
Teniendo en cuenta la situación y, en su caso, las normas europeas e internacionales pertinentes, así como el coste de su aplicación, las medidas a que se refiere el párrafo primero garantizarán un nivel de seguridad de los sistemas de redes y de información adecuado en relación con los riesgos planteados. Al evaluar la proporcionalidad de dichas medidas, se tendrá debidamente en cuenta el grado de exposición de la entidad a los riesgos, el tamaño de la entidad y la probabilidad de que se produzcan incidentes y su gravedad, incluidas sus repercusiones sociales y económicas”.
Y según el art. 21.2 “Las medidas a que se hace referencia en el apartado 1 se fundamentarán en un enfoque basado en todos los peligros que tenga por objeto proteger los sistemas de redes y de información y el entorno físico de dichos sistemas frente a incidentes, e incluirán al menos los siguientes elementos: […]” Se indica a continuación los distintos recursos que puedes encontrar en INCIBE para ayudarte con el cumplimiento de cada uno de los elementos del Art.21.2.
- a) Las políticas de seguridad de los sistemas de información y análisis de riesgos;
- c) La continuidad de las actividades, como la gestión de copias de seguridad y la recuperación en caso de catástrofe, y la gestión de crisis
- b) La gestión de incidentes
- d) la seguridad de la cadena de suministro, incluidos los aspectos de seguridad relativos a las relaciones entre cada entidad y sus proveedores o prestadores de servicios directos;
- e) La seguridad en la adquisición, el desarrollo y el mantenimiento de sistemas de redes y de información, incluida la gestión y divulgación de las vulnerabilidades
- f) Las políticas y los procedimientos para evaluar la eficacia de las medidas para la gestión de riesgos de ciberseguridad
- g) Las prácticas básicas de ciberhigiene y formación en ciberseguridad
- h) Las políticas y procedimientos relativos a la utilización de criptografía y, en su caso, de cifrado
- i) La seguridad de los recursos humanos, las políticas de control de acceso y la gestión de activos
- j) El uso de soluciones de autenticación multifactorial o de autenticación continua, comunicaciones de voz, vídeo y texto seguras y sistemas seguros de comunicaciones de emergencia en la entidad, cuando proceda
Notificación de incidentes significativos
Por otra parte, las entidades afectadas por NIS2 deberán notificar, siguiendo los plazos del art.23, cualquier incidente significativo, es decir, aquel que:
- ha causado o puede causar graves perturbaciones operativas de los servicios o pérdidas económicas para la entidad afectada;
- ha afectado o puede afectar a otras personas físicas o jurídicas al causar perjuicios materiales o inmateriales considerables.
