Directiva NIS2 y Ciberseguridad de sus Soluciones de Red

Lo dijimos una vez y lo volveremos a decir: la ciberseguridad no debe darse por sentada.

Por desgracia, los ciberataques tanto en el sector privado como en el público siguen prosperando y expandiéndose, como demuestra el aumento del 57% de este tipo de ataques en Europa en 2023. No es una buena señal, pero si hay un resquicio de esperanza, es que estos incidentes ponen de relieve la necesidad de que las empresas reevalúen y mejoren sus medidas de seguridad IoT.

Ahora, la creciente preocupación por la seguridad del IoT, y la ciberseguridad en todas sus formas, se extiende más allá de los sectores privado y público e incluye también a los organismos gubernamentales. La Unión Europea está igual de interesada en tomar grandes medidas de ciberseguridad para proteger a las empresas de cualquier exposición no deseada, especialmente a las que trabajan con infraestructuras críticas.

Con las nuevas normativas de ciberseguridad de la UE previstas para octubre de 2024, debería familiarizarse con la Directiva NIS2, su propósito, las normativas y las posibles consecuencias de su incumplimiento.

¿EN QUÉ SE DIFERENCIA NIS2 DE NIS?

nis2-directive-your-networking-solutions-cybersecurity-in-article-2.jpg

La Directiva NIS fue la primera norma de ámbito comunitario que ordenaba a las empresas que operaban en el ámbito de la Unión Europea que cumplieran ciertas normas de ciberseguridad.

Estas normas incluían medidas para controlar y prevenir los riesgos y la obligación de informar sobre los incidentes y cooperar con las autoridades. Esta directiva afectaba sobre todo a las empresas que trabajan en infraestructuras críticas y a los proveedores de servicios digitales clave en los sectores del transporte, la energía y las finanzas.

La Directiva SRI original se introdujo hace casi 7 años, en 2017. Mucho ha cambiado en el mundo digital desde entonces. Así que era inevitable que la Unión Europea actualizara la Directiva SRI para garantizar la seguridad de la IO. Y, efectivamente, lo hizo.

Esta segunda iteración de la NIS introducida por la UE es más grande, más fuerte y más estricta, con el objetivo de establecer normas de ciberseguridad más estrictas para una mayor protección de la infraestructura de red que las empresas deben cumplir antes de octubre de 2024.

REGLAMENTOS DE LA DIRECTIVA NIS2 QUE LAS EMPRESAS DEBEN CUMPLIR

Hay cuatro tipos generales de requisitos en la Directiva NIS2 que son los más cruciales que debe cumplir una empresa:

1) Gestión de riesgos - las empresas deben mitigar los riesgos centrándose en reforzar la protección de su infraestructura de red, la seguridad de la cadena de suministro y los métodos de control de acceso y encriptación de datos de las soluciones de red.

2) Responsabilidad corporativa - la dirección corporativa debe supervisar e instruir a sus empleados para que apliquen medidas de seguridad en sus tareas diarias y aborden cualquier riesgo de ciberseguridad que identifiquen.

3) Obligaciones de notificación - las entidades esenciales e importantes deben notificar con prontitud cualquier incidente de seguridad que experimenten, cumpliendo los plazos específicos para la notificación de incidentes, como la alerta temprana de 24 horas.

4) Continuidad de las actividades - las empresas deben planificar con antelación las medidas que adoptarán en caso de que se produzca un incidente cibernético importante, incluida la realización de recuperaciones de sistemas, la aplicación de procedimientos de emergencia y la asignación de un equipo especializado, responsable de la gestión de crisis.

nis2-directive-your-networking-solutions-cybersecurity-in-article-1.jpg

El Jefe de Infraestructura y Seguridad de TI de Teltonika, Artūras Golyšenko, aconseja:

"Es probable que las empresas impliquen únicamente a su personal informático en la preparación de la Directiva NIS2, considerándola como un enigma tecnológico más.

"Sin embargo, para mejorar la resistencia de toda la organización frente a las ciberamenazas, el equipo debería incluir no sólo a expertos técnicos, sino también a jefes de múltiples departamentos, abogados, empleados responsables de los servicios de la empresa e incluso directivos.

"Como el alcance de los ciberataques también incluye el error humano, el departamento de TI por sí solo no será suficiente para ayudar a prepararse. Es importante fomentar una cultura de ciberseguridad en las empresas proporcionando a los empleados conocimientos básicos y especializados sobre cómo hacer frente a determinadas situaciones.

"Al hacerlo, todas las partes interesadas de la empresa dispondrán de la información que necesitan y podrán identificar las áreas problemáticas y abordarlas. Esto garantiza la continuidad en el desarrollo del proceso de ciberseguridad".

Para más información, consulte este completo resumen del contenido de la Directiva NIS2. 

Esto nos lleva a la siguiente pregunta...

¿CÓMO LE AFECTA ESTO?

Considere esta pregunta detenidamente, ya que la Directiva NIS original tuvo un impacto más limitado, afectando a menos empresas de infraestructuras críticas especializadas en sectores como la energía, la sanidad, el transporte, las finanzas, el suministro de agua y las infraestructuras digitales.

nis2-directive-your-networking-solutions-cybersecurity-in-article-3.jpg

Ahora, la Directiva NIS2 no sólo sigue centrándose en estos seis sectores, sino que se amplía para incluir nueve sectores adicionales, como la gestión de residuos, la fabricación, la investigación y los proveedores digitales, entre otros. Así pues, la lista es mucho más amplia de lo que era anteriormente.

También es crucial tener en cuenta el tamaño de su empresa a la hora de determinar el cumplimiento de la Directiva NIS2. Las entidades esenciales, definidas como empresas con unos 250 empleados y una facturación anual de 50 millones de euros, deben cumplirla. Del mismo modo, las entidades importantes con unos 50 empleados y una facturación de 10 millones de euros también están obligadas a adherirse a la Directiva.

Sin embargo, es importante tener en cuenta que las empresas que no encajan en estas categorías aún pueden tener que cumplirla si prestan servicios críticos vitales para las actividades sociales o económicas de un Estado miembro.

Si las empresas sujetas a la Directiva NIS2 no cumplen los requisitos, se verán expuestas a sanciones. Estas penalizaciones pueden manifestarse como recursos no monetarios, multas administrativas o incluso sanciones penales.

Sin embargo, el hecho de que el sector de su empresa no figure en la lista no significa que esté libre de sospecha, ya que hay muchas posibilidades de que sus servicios o productos se utilicen en uno de los sectores afectados. En otras palabras, su empresa también debe cumplir la normativa de la Directiva NIS2.

¿QUÉ OCURRE SI SU EMPRESA INCUMPLE LA NIS2?

Como ya se ha mencionado, las empresas sujetas a lA NIS2 exigirán a sus proveedores y socios que cumplan con su normativa para garantizar una cadena de suministro segura y evitar multas. El incumplimiento podría hacer que sus clientes potenciales o actuales no renovaran los contratos, lo que afectaría negativamente a su negocio.

nis2-directive-your-networking-solutions-cybersecurity-in-article-4.jpg

Otra preocupación importante reside en la reputación de su empresa. Si su empresa no cumple con la NIS2, podría ser considerada poco fiable o incompetente a la hora de mantener un alto nivel de ciberseguridad.

Así pues, ignorar la normativa de la Directiva NIS2 pondrá a su empresa en desventaja, lo que seguramente afectará a su relación con los clientes y a su negocio en general.

SU EMPRESA CUMPLIRÁ CON TELTONIKA

Teltonika invierte una cantidad significativa de tiempo y esfuerzo no solo en mejorar la seguridad de nuestros dispositivos de red y la seguridad IoT, sino también en nuestras políticas de ciberseguridad. Dado que nuestra sede se encuentra en Lituania, debemos cumplir todas las normativas de la UE, incluida la Directiva NIS2.

nis2-directive-your-networking-solutions-cybersecurity-in-article-5.jpg

La Directiva NIS2 de la UE aún no se ha transpuesto a la legislación lituana. Se espera que la normativa específica del Centro Nacional de Ciberseguridad de Lituania se anuncie en el cuarto trimestre de 2024. Mientras tanto, nos adherimos a las mejores prácticas de ciberseguridad, utilizando tecnologías de última generación y gestionando nuestros sistemas de acuerdo con las normas ISO27001 e ISO9001.

La unidad de dispositivos de red de Teltonika se ha convertido recientemente en miembro oficial de la comunidad del programa CVE. Esta afiliación nos permite garantizar una rápida notificación de incidentes al permitirnos establecer, registrar y publicar nosotros mismos los CVE.

También es importante destacar una gran ventaja de nuestro Sistema de Gestión Remota (RMS), ya que con él, nuestros clientes pueden obtener capacidades de gestión remota segura de toda su solución de red y supervisar la salud y el estado de cada componente. 

RMS puede utilizarse para supervisar si todos los dispositivos IoT implicados funcionan continuamente como deberían. Si no es así, RMS puede alertar eficazmente al cliente sobre cualquier incidente o riesgo potencial basándose en reglas preconfiguradas.

LA OPINIÓN DE TELTONIKA SOBRE LA SSDL

Al desarrollar sistemas de software para nuestros dispositivos de red, nuestros ingenieros de I+D y ciberseguridad siguen un proceso de ciclo de vida de desarrollo de software seguro (SSDL). Esto se hace para garantizar que nuestros dispositivos de red sean seguros desde el principio, incluso antes de añadirles cualquier medida de seguridad adicional. 

Abordamos nuestra SSDL con seis fases que nos ayudan a identificar y mitigar meticulosamente cualquier riesgo potencial de ciberseguridad:

1) nuestros ingenieros de ciberseguridad forman y ponen a prueba a los equipos de desarrollo de software, cubriendo temas de seguridad y mejores prácticas para garantizar la eficacia de un trabajo seguro;

2) establecemos los requisitos básicos de seguridad y privacidad para las próximas actualizaciones o versiones de software;

3) el equipo de I+D revisa y analiza continuamente cómo deberían funcionar los dispositivos con las próximas versiones de software, al tiempo que busca posibles amenazas para la seguridad;

4) realizamos sistemáticamente análisis estáticos de código para mantener, revisar y optimizar el código de nuestros dispositivos de red;

5) llevamos a cabo múltiples pruebas, incluyendo fuzzing y penetraciones exhaustivas, para finalizar los veredictos;

6) una vez completadas estas rigurosas pruebas, la documentación se finaliza, se archiva y se utiliza como referencia cuando comienza el nuevo ciclo.

nis2-directive-your-networking-solutions-cybersecurity-in-article-6.jpg

ASEGÚRESE DE QUE SU INFRAESTRUCTURA CRÍTICA CUENTA CON DISPOSITIVOS IoT CONFORME A NIS2

nis2-directive-your-networking-solutions-cybersecurity-in-article-7.jpg

Asegurar su infraestructura crítica, especialmente dentro de las soluciones de red, puede parecer desalentador al principio. Sin embargo, la elección de dispositivos Teltonika en sus soluciones de infraestructuras críticas puede acabar con sus preocupaciones. Y estamos seguros de ello.

¿Desea conocer aún más detalles sobre cómo cumplimos la Directiva NIS2 y las medidas adicionales de ciberseguridad que tomamos para elevar nuestros dispositivos IoT por encima de la competencia?

No dude en ponerse en contacto con nosotros. Le explicaremos cómo nuestro compromiso con la seguridad nos convierte en el socio ideal para su viaje hacia un futuro digital más seguro. 