El 5 de enero de 2023 entró en vigor en España la directiva NIS 2. La nueva directiva 2022/2555 viene a actualizar la anterior normativa sobre seguridad de las redes y sistemas de información de la Unión Europea recogida en la Directiva NIS 1 promulgada en 2016.
NIS 2 establece un marco común dentro de la UE que recoge medidas de ciberseguridad para los sectores estratégicos en la Unión, ampliando dichos sectores respecto a la anterior Directiva NIS. Para ello, antes del 17 de octubre de 2024 como fecha límite, los Estados miembros deberán adoptar y aprobar las medidas necesarias para dar cumplimiento a los requisitos establecidos en NIS 2.
Los sectores estratégicos abarcan tanto entidades públicas como privadas y tienen la consideración de “estratégicos” por su relevancia para la economía y la ciudadanía dentro de la Unión Europea. En total se han considerado 18 sectores estratégicos por actividad como la infraestructura de servicios financieros, la gestión de servicios TIC, la investigación, la alimentación, la educación, la sanidad, el sector energético, el comercio, el transporte o la defensa, entre otros.
La nueva regulación diferencia entre “entidades esenciales” y “entidades importantes”, atendiendo a la alta criticidad a la que pertenecen los sectores de actividad. Dentro de esa clasificación viene a considerar a los prestadores cualificados de servicios de confianza como Víntegris, dentro de los proveedores de servicios críticos y, en concreto, su actividad se engloba en las prestadas por sectores de “alta criticidad”.
NIS 2 también establece los requisitos que deben considerarse para la gestión de los riesgos en ciberseguridad, estableciendo un mínimo de medidas técnicas, operativas y de organización que deben implantarse para prevenir, detectar, minimizar los incidentes de seguridad que afecten a los servicios prestados y garantizar la resiliencia de los sistemas que soportan la prestación de estos servicios críticos.
Dichas medidas se basan en la existencia de una política de seguridad y la realización periódica de análisis de riesgos, junto con la adopción de las medias de seguridad necesarias para el tratamiento de los riesgos detectados.
Por otro lado, la Directiva establece la obligación de notificación de incidentes de seguridad, atendiendo a su clasificación, la comunicación por parte de las entidades afectadas al CSIRT (Equipos de Ciberseguridad y Gestión de Incidentes españoles) de referencia en cada Estado miembro y a la colaboración entre los diferentes CSIRT para favorecer la gestión del conocimiento en ciberseguridad y la adopción de medidas que eviten la materialización de incidentes.
Víntegris, como prestador cualificado de servicios de confianza, deberá cumplir con las medidas de seguridad que se definan para las organizaciones consideradas servicios críticos. Sus objetivos y políticas de seguridad están alineadas con estándares de seguridad reconocidos internacionalmente como la ISO 27001:2022 y el Esquema Nacional de Seguridad, normas en las que el Sistema de Información de Víntegris que soporta los servicios ofrecidos como Prestador de Servicios de Confianza está certificado, lo que les permitirá afrontar desde una posición óptima el cumplimiento de las medidas que sean exigibles para dar cumplimiento a los requisitos establecidos por la Directiva NIS 2.
Desde Víntegris, siguen trabajando para garantizar la seguridad y privacidad en los servicios prestados a los clientes, cumpliendo los estándares de seguridad vigentes.
