NIS2

La directiva NIS 2 es la nueva versión de la directiva NIS original, y representa un avance importante en el marco jurídico de la ciberseguridad de la Unión Europea. Sobre la base de su predecesora, la NIS 2 ofrece una cobertura sectorial más amplia, requisitos de seguridad más estrictos y sanciones más severas en caso de incumplimiento. El texto completo de la directiva NIS 2 está disponible en el Boletín Oficial de la Unión Europea. Además, la Agencia de la Unión Europea para la Ciberseguridad ("ENISA") ofrece orientación y recursos a las entidades que quieran cumplir con los objetivos de la directiva.

La NIS 2 se aplica a entidades "esenciales" e "importantes" en 18 sectores. Entre ellos se incluyen los sectores "altamente críticos" (por ejemplo, energía, transporte, banca, salud, agua e infraestructura digital) y los sectores "otros sectores críticos" (por ejemplo, servicios postales, gestión de residuos, alimentación y fabricación). Para ver la lista completa de sectores incluidos, consulta el Anexo 1 y el Anexo 2 de la directiva NIS.

Sí, Cloudflare entra dentro del ámbito de aplicación de la directiva NIS 2 como proveedor de infraestructura digital. Cloudflare ya se había registrado como "operador de servicios esenciales" y "proveedor de servicios digitales" en virtud de la directiva NIS original.

Las entidades se clasifican en función de su tamaño y su importancia para la economía y la sociedad. Aunque las dos categorías de entidades reguladas por la ley, esenciales e importantes, están sujetas a los mismos requisitos de seguridad y notificación de incidentes, las entidades esenciales se enfrentan a una supervisión más proactiva y estricta por parte de las autoridades nacionales.

Sí. La directiva NIS 2 se aplica a cualquier entidad que preste servicios "esenciales" o "importantes" dentro de la Unión Europea, independientemente de dónde tenga su sede la empresa. Además, dado que la directiva NIS 2 exige la gestión de riesgos en la cadena de suministro, muchas empresas sujetas a esta normativa, tanto dentro como fuera de la Unión Europea, exigirán ahora a sus proveedores y prestadores de servicios de todo el mundo que demuestren la conformidad de las normas de seguridad de la directiva NIS 2 como condición para hacer negocios con ellos.

El artículo 21 de la directiva exige que las entidades reguladas adopten "medidas técnicas, operativas y organizativas adecuadas y proporcionadas" para gestionar los riesgos de ciberseguridad, entre las que se incluyen:

• Políticas de análisis de riesgos y seguridad de los sistemas de información.
• Gestión de incidentes (prevención, detección y respuesta).
• Continuidad del negocio y gestión de crisis.
• Seguridad de la cadena de suministro, incluidos los riesgos relativos a la relación entre cada entidad y sus proveedores directos.
• Seguridad en la adquisición, el desarrollo y el mantenimiento de redes y sistemas de información.
• Políticas y procedimientos para evaluar la eficacia de las medidas de gestión de riesgos de ciberseguridad.
• El uso de la criptografía y la encriptación.

Sí, el artículo 21 exige específicamente que las entidades aborden la seguridad de la cadena de suministro, incluida la relación entre la entidad y sus proveedores directos. Cloudflare ayuda en este sentido proporcionando documentación de seguridad transparente (tales como informes de conformidad) y herramientas como Data Localization Suite, que ayuda a los clientes a gestionar los riesgos legales y geográficos asociados al tratamiento de datos y a los proveedores de servicios.

NIS 2 incluye sanciones significativas mediante un sistema de multas por tramos basado en la clasificación de la entidad:

• Entidades esenciales : sanciones máximas de al menos 10 millones de euros o el 2 % de la facturación anual total en todo el mundo, lo que sea mayor.
• Entidades importantes : sanciones máximas de al menos 7 millones de euros o el 1,4 % de la facturación anual total en todo el mundo, lo que sea mayor.

Además, la norma NIS 2 supone un cambio en la responsabilidad de la dirección. En virtud del artículo 20, los "órganos de dirección" de una empresa regulada (por ejemplo, los altos directivos y los consejos de administración) son ahora directamente responsables de supervisar la aplicación de las medidas de gestión de riesgos de ciberseguridad. Los directivos pueden ser considerados personalmente responsables por negligencia grave tras un fallo de la seguridad. En el caso de las entidades esenciales, las autoridades nacionales pueden incluso tener la facultad de prohibir temporalmente que las personas ocupen puestos directivos.

Cloudflare proporciona acceso de autoservicio a nuestros últimos informes ISO 27001, ISO 27701 y SOC 2 Tipo II a través de nuestro Centro de confianza. Estos documentos sirven como prueba fundamental para tus requisitos de "Seguridad de la cadena de suministro" en virtud del artículo 21 de la directiva NIS 2.

Para saber más, también puedes descargar nuestro informe técnico sobre la conformidad con NIS 2, en el que se destacan las formas en que los productos de Cloudflare pueden ayudar a los clientes sujetos a la normativa NIS 2.