El objetivo es hacer de la ciberseguridad una responsabilidad de la dirección de la organización. La nueva directiva de la UE entrará en vigor el 17 de octubre de 2024.
La nueva directiva de seguridad cibernética exige que las organizaciones que operan en sectores críticos presten más atención que antes a las cuestiones de seguridad de la información. Adobe Stock/AOP
Centro de Ciberseguridad de la Agencia Finlandesa de Transportes y Comunicaciones Traficom parecerse de la directiva NIS 2, que entrará en vigor en octubre, también conocida como directiva de ciberseguridad de la Unión Europea. Sustituye a la anterior Directiva sobre seguridad de las redes y de la información.
En la nueva directiva, a los sectores críticos de la sociedad y a las organizaciones que operan en ellos se les han asignado requisitos de fortalecimiento de la seguridad de la información y obligaciones de presentación de informes. Entre otras cosas, la directiva enumera las medidas mínimas que todos los operadores deben implementar para gestionar los riesgos de seguridad de la información que afectan las operaciones de su organización.
Con la nueva directiva, las organizaciones consideradas centrales o importantes tendrán la obligación de informar desviaciones significativas en la seguridad de los datos.
La obligación de notificación consta de tres etapas, es decir, el operador debe presentar la primera notificación a la autoridad de control dentro de las 24 horas siguientes a la detección de la desviación, tras lo cual la notificación de seguimiento debe realizarse dentro de las 72 horas. Al finalizar la situación anormal, se deberá presentar un informe final a la autoridad supervisora.
Penas severas
La directiva también describe las multas administrativas impuestas por incumplimiento de obligaciones.
Para un actor clave de la sociedad, la multa máxima es de 10 millones de euros o el 2 por ciento del volumen de negocios total mundial, lo que sea mayor. Para los operadores secundarios, la multa asciende a un máximo de 7 millones de euros o el 1,4 por ciento del volumen de negocios total.
El principal experto en seguridad de la información de la unidad de seguridad cibernética de CGI Ilmari Luoma escribió en el blog de CGI la primavera pasada, que lo más especial de NIS 2 es la fuerte orientación de los requisitos del futuro hacia los niveles directivos de empresas y organizaciones. Según Luoma, la responsabilidad de los directivos se enfatiza con un lenguaje excepcionalmente fuerte.
– Según la directiva, el deber de la dirección es liderar el trabajo de seguridad de la información y garantizar que se implementen los procedimientos de seguridad de la información especificados. En situaciones problemáticas, la dirección tampoco puede confiar en la falta de conciencia, pero el requisito para actuar en una posición de liderazgo es que usted se eduque lo suficiente sobre temas de seguridad de la información para poder tomar decisiones, escribe Luoma.
Puede leer más sobre los requisitos que marca la directiva NIS 2 Del sitio web de Traficom.
Traficom también ha incluido en su sitio web Prácticas de ciberhigiene recomendadas para las organizaciones.como capacitar al personal en prácticas básicas de seguridad de la información, proteger los sistemas de información, manejar información confidencial de forma segura y prepararse para excepciones de seguridad cibernética.