Seleccionar página

NIS2: Medidas para la gestión de riesgos de Ciberseguridad y Obligaciones de notificación

7 marzo 2025

Introducción

La ciberseguridad se ha convertido en una prioridad crucial para proteger tanto a las entidades afectadas como a las personas en el entorno digital. Para reforzar la seguridad de los sistemas de redes e información, la Directiva NIS2 introduce una serie de medidas orientadas a mejorar la gestión de riesgos de ciberseguridad y garantizar una respuesta ágil ante incidentes. En este post, nos centraremos en las Medidas para la Gestión de Riesgos de Ciberseguridad y Obligaciones de Notificación, conforme a la Directiva NIS2.

Esta determina en sus anexos I y II, qué entidades están obligadas a cumplir con esta Directiva. ¿Te gustaría saber más? ¡Sigue leyendo! A continuación, te contamos todas las claves.

Gobernanza

Uno de los aspectos clave de esta Directiva es que los órganos de dirección de las entidades obligadas deben aprobar las medidas para la gestión de riesgos de ciberseguridad, supervisar su implementación y asumir la responsabilidad en caso de incumplimiento.

Además, garantizarán que los miembros de los órganos de dirección y los empleados de dichas entidades reciban formación para detectar riesgos, evaluar las prácticas de gestión de ciberseguridad y comprender su impacto en los servicios proporcionados por la entidad.

¿Quieres saber más sobre la Directiva NIS2?

Medidas para la gestión de riesgos de ciberseguridad

Las entidades deberán adoptar medidas técnicas, operativas y organizativas adecuadas para gestionar los riesgos en los sistemas de redes y de información.

Las medidas se fundamentarán en un enfoque basado en todos los peligros que tenga por objeto proteger los sistemas de redes y de información y el entorno físico de dichos sistemas frente a incidentes, e incluirán al menos los siguientes elementos:
  1. las políticas de seguridad de los sistemas de información y análisis de riesgos;
  2. la gestión de incidentes;
  3. la continuidad de las actividades, como la gestión de copias de seguridad y la recuperación en caso de catástrofe, y la gestión de crisis;
  4. la seguridad de la cadena de suministro, incluidos los aspectos de seguridad relativos a las relaciones entre cada entidad y sus proveedores o prestadores de servicios directos;
  5. la seguridad en la adquisición, el desarrollo y el mantenimiento de sistemas de redes y de información, incluida la gestión y divulgación de las vulnerabilidades;
  6. las políticas y los procedimientos para evaluar la eficacia de las medidas para la gestión de riesgos de ciberseguridad;
  7. las prácticas básicas de ciberhigiene (concienciación del personal) y formación en ciberseguridad;
  8. las políticas y procedimientos relativos a la utilización de criptografía y, en su caso, de cifrado;
  9. la seguridad de los recursos humanos, las políticas de control de acceso y la gestión de activos
  10. el uso de soluciones de autenticación multifactorial o de autenticación continua, comunicaciones de voz, vídeo y texto y sistemas seguros de comunicaciones de emergencia en la entidad, cuando proceda.

Las entidades evaluarán la idoneidad de las medidas de seguridad en su cadena de suministro, considerando las vulnerabilidades de cada proveedor y prestador de servicios directo, así como la calidad de sus productos y prácticas de ciberseguridad, incluidos los procedimientos de desarrollo seguro.

Si una entidad detecta que no cumple con las medidas establecidas, adoptará sin demora todas las medidas correctoras necesarias y proporcionadas.

250306-NIS2--Medidas-y-notificacion-2

Obligaciones de notificación

Las entidades notificarán sin demora cualquier incidente significativo que afecte la prestación de sus servicios a su CSIRT o autoridad competente.

En España, la notificación debe realizarse al CSIRT de referencia correspondiente según el tipo de entidad.
  • El Centro Criptológico Nacional (CCN-CERT): al que corresponde la comunidad de referencia constituida por las entidades consideradas esenciales o importantes pertenecientes a la Administración General del Estado, las Administraciones de las Comunidades Autónomas, las Entidades que integran la Administración Local y el sector público institucional.
  • El Instituto Nacional de Ciberseguridad (INCIBE-CERT): al que corresponde la comunidad de referencia constituida por las entidades consideradas esenciales o importantes que no se encuentren en el sector público; empresas, profesionales, asociaciones, fundaciones y todo tipo de organizaciones de tipo privado.
  • El Mando Conjunto del Ciberespacio (ESPDEF-CERT): que cooperará con el CCN-CERT y el INCIBE-CERT en aquellas situaciones que éstos requieran y, necesariamente, en las relativas a incidentes de entidades con incidencia en la Defensa Nacional, en cuyo caso se coordinarán con él aquellos aspectos que pueda afectar a la Defensa Nacional, al Ministerio de Defensa o a la Operatividad de las Fuerzas Armadas.

Las organizaciones deberán informar sin demora a los destinatarios de sus servicios sobre cualquier ciberamenaza significativa que pueda afectarlos. También deberán comunicarles las medidas o soluciones que pueden adoptar para mitigar el riesgo.

¿Quieres saber más sobre la Directiva NIS2?

Un incidente se considera significativo si causa graves perturbaciones operativas o pérdidas económicas, o afecta a otras personas con perjuicios materiales o inmateriales considerables.

A los efectos de la notificación, las entidades afectadas presentarán al CSIRT o, en su caso, a la autoridad competente:
  1. Un plazo de 24 horas desde que se haya tenido constancia del incidente significativo, en el que, cuando proceda, se indicará si existe sospecha de que el incidente responde a una acción ilícita o malintencionada o si puede tener repercusiones transfronterizas;
  2. Un plazo de 72 horas desde que se haya tenido constancia del incidente significativo, una notificación del incidente en la que se actualizará y se expondrá una evaluación inicial de incidente significativo, incluyendo su gravedad e impacto, así como indicadores de compromiso, cuando estén disponibles;
  3. A instancias de un CSIRT o, en su caso, de la autoridad competente, un informe intermedio con las actualizaciones pertinentes sobre la situación;
  4. Un informe final, a más tardar un mes después de presentar la notificación del incidente en el que se recojan los siguientes elementos:
      1. descripción detallada del incidente, incluyendo su gravedad e impacto;
      2. el tipo de amenaza o causa principal que probablemente haya desencadenado el incidente;
      3. las medidas paliativas aplicadas y en curso;
      4. cuando proceda, las repercusiones transfronterizas del incidente.
  5. en el caso de que el incidente siga en curso en el momento de la presentación del informe final las entidades afectadas presentarán un informe de situación en ese momento y un informe final en el plazo de un mes a partir de que hayan gestionado el incidente.
El CSIRT o la autoridad competente responderá a la entidad notificante en un plazo de 24 horas tras recibir la alerta temprana, proporcionando comentarios iniciales sobre el incidente y, si se solicita, orientación sobre medidas paliativas. Además, el CSIRT brindará apoyo técnico y, en caso de sospecha de actividad delictiva, orientará sobre cómo denunciar el incidente a las autoridades pertinentes.
¿Quieres saber más sobre la Directiva NIS2?
Cristina Corbillón Gómez

Cristina Corbillón Gómez

Responsable de Marketing y Comunicación

    Entradas recientes