La Agencia de la Unión Europea para la Ciberseguridad (ENISA) ha publicado una guía técnica de implementación, un documento diseñado para ayudar a las entidades a cumplir con los requisitos del Reglamento de Ejecución (UE) 2024/2690 de la Comisión, emitido el 17 de octubre de 2024. Este reglamento establece las normas para la aplicación de la Directiva NIS2 en lo que respecta a los requisitos técnicos y metodológicos de las medidas de gestión de riesgos de ciberseguridad en Europa.
La guía, aunque no es legalmente vinculante y tiene un carácter puramente consultivo, se presenta como una herramienta fundamental para que las entidades europeas naveguen por el complejo panorama de la ciberseguridad. Su principal objetivo es correlacionar cada requisito del Reglamento de Ejecución con estándares y marcos de ciberseguridad europeos e internacionales reconocidos, así como con marcos nacionales. También incluye, entre otras, decisiones ministeriales y decretos reales nacionales.
Requisitos clave de la nueva guía
ENISA subraya que la guía técnica no debe interpretarse como una medida de equivalencia entre los diferentes estándares o marcos. Simplemente remite a los requisitos relevantes en estos estándares sin evaluar si cubren completamente los requisitos del reglamento. La intención es ayudar a las entidades a comprender las relaciones entre estos marcos, lo que puede facilitar el uso e integración eficiente de múltiples estándares, mantener el cumplimiento, reducir la duplicación de esfuerzos y agilizar las auditorías.
La guía abarca una amplia gama de requisitos de ciberseguridad, fundamentales para fortalecer la postura digital de la Unión Europea (UE). Entre los requisitos clave cubiertos se encuentran:
- Política sobre la seguridad de las redes y sistemas de información.
- Marco de gestión de riesgos, incluyendo el cumplimiento y la revisión independiente.
- Gestión de incidentes, desde la política de manejo hasta la respuesta y las revisiones post-incidente.
- Continuidad del negocio y gestión de crisis, que incluye planes de recuperación ante desastres y gestión de copias de seguridad.
- Seguridad de la cadena de suministro, abarcando políticas y directorios de proveedores.
- Seguridad en la adquisición, desarrollo y mantenimiento de redes y sistemas de información, con directrices sobre ciclo de vida de desarrollo seguro, gestión de configuración y pruebas de seguridad.
- Políticas y procedimientos para evaluar la eficacia de las medidas de gestión de riesgos de ciberseguridad.
- Concienciación y prácticas básicas de ciberhigiene, así como formación en seguridad.
- Criptografía.
- Seguridad de los recursos humanos, desde la verificación de antecedentes hasta los procedimientos de terminación de empleo.
- Control de acceso, incluyendo políticas, gestión de derechos y autenticación multifactor.
- Gestión de activos, como clasificación, manejo, inventario y políticas de medios extraíbles.
- Seguridad física y ambiental, con protección contra amenazas físicas y controles de acceso perimetral.
Proveedores digitales bajo esta guía
Esta directriz técnica es necesaria para una serie de entidades de vital importancia en la economía digital de la UE. De acuerdo con la información relacionada con esta guía, son varios los proveedores digitales que se encuentran en el ámbito de aplicación del reglamento de implementación NIS2 y de esta propia directriz.
Destacan los proveedores de DNS, de servicios en la nube, de centros de datos, de servicios gestionados, de mercados en línea, de servicios de redes sociales y motores de búsqueda, entre otros.
Entidades y Estados
Por otro lado, las entidades tienen la flexibilidad de elegir qué estándares y buenas prácticas aplicar, basándose en el contexto de sus actividades y características. Además, pueden construir sobre su uso actual de estándares o marcos regulatorios si ya los tienen implementados.
Los Estados miembros, por su parte, conservan la libertad de determinar su enfoque para la supervisión de los requisitos establecidos en el reglamento de ejecución.
A partir de esta publicación, ENISA busca proporcionar una base sólida para que las organizaciones fortalezcan sus defensas cibernéticas y cumplan con las crecientes exigencias regulatorias, fomentando así un entorno digital más resiliente en toda la UE.
Archivado en:





