Introducción a la Directiva sobre la seguridad de las redes y sistemas de información 2.0 de la Unión Europea

En respuesta a la creciente amenaza de los ciberataques y la consiguiente necesidad de incrementar las defensas, el Consejo de la Unión Europea (UE) y el Parlamento Europeo adoptaron la Directiva sobre la seguridad de las redes y sistemas de información 2.0 en diciembre de 2022. La SRI 2 dispone unos requisitos de seguridad TI revisados y más amplios aplicables para todos los Estados miembros de la UE. Uno de los propósitos más importantes de esta legislación sobre seguridad TI en la UE es contribuir «al funcionamiento eficaz de su economía y sociedad».

La Directiva SRI se publicó originalmente en 2016. Este conjunto actualizado de preguntas más frecuentes proporciona información sobre los requisitos nuevos y ampliados que impone la Directiva SRI 2 a las empresas que operan en el mercado europeo, y cómo las soluciones de Sophos pueden ayudarle a cumplir los nuevos requisitos.

¿Qué es la Directiva SRI 2?

SRI 2 es la continuación de la Directiva SRI 1, que fue adoptada en 2016 e introdujo la primera iniciativa de normalización de la ciberseguridad en los sistemas judiciales de los Estados miembros de EU. En diciembre de 2022, el Consejo de la UE y el Parlamento Europeo adoptaron la Directiva SRI 2, que revisaba y ampliaba los requisitos de ciberseguridad en toda la UE.

Puesto que la Directiva SRI 2 es también una directiva y no un reglamento formal, no es aplicable directamente en los Estados miembros hasta que se transponga al derecho nacional. Por tanto, son los legisladores de cada país quienes deben modificar sus leyes de seguridad TI nacionales antes de la fecha límite establecida por los legisladores europeos: 17 de octubre de 2024.

¿Cuál es el propósito de la Directiva SRI 2?

La SRI 2 pretende reforzar los requisitos de seguridad en la UE ampliando su ámbito de aplicación a más sectores y entidades, contemplando medidas como el análisis de riesgos y las políticas de seguridad de los sistemas de información, la gestión de incidentes y la seguridad de la cadena de suministro. También tiene previsto agilizar las obligaciones de notificación.

¿Cuándo entrará en vigor la Directiva SRI 2?

Las organizaciones tendrán que cumplir la nueva normativa de ciberseguridad de la UE, que es más estricta, a partir del 18 de octubre de 2024 o, de lo contrario, se arriesgan a fuertes sanciones. Puede verla ficha de cumplimiento SRI 2 de Sophos para obtener ayuda; en la ficha se explica cómo las soluciones de Sophos ofrecen herramientas efectivas para ayudar a las organizaciones a cumplir con la SRI 2.

¿Cuáles son las sanciones en el caso de incumplir la Directiva SRI 2?

En casos de incumplimiento, la SRI 2 exige a los Estados miembros que impongan sanciones importantes: 10 millones EUR o el 2 % del volumen de negocios mundial (el importe que sea más elevado) para las entidades esenciales y 7 millones EUR o el 1,4 % del volumen de negocios mundial (el importe que sea más elevado) para las entidades importantes.

La SRI 2 impone obligaciones directas a los órganos de dirección para que apliquen y supervisen el cumplimiento de la legislación por parte de sus organizaciones. El incumplimiento podría dar lugar a la imposición de una prohibición temporal de ejercer responsabilidades de gestión al personal directivo de la entidad, incluidos los más altos cargos ejecutivos.

¿Qué cobertura de ciberseguridad se requiere con la Directiva SRI 2?

Específicamente, la SRI 2 requiere que se adopten medidas específicas como parte de una estrategia de gestión activa de riesgos que se amplía para asegurar la cadena de suministro, incluso más allá de las empresas no europeas que hacen negocios con empresas europeas obligadas a cumplir la SRI 2.

Para ver la lista de las medidas específicas de gestión de riesgos, consulte el monográfico de SRI 2 de Sophos, página 5.

¿Quién debe adoptar la Directiva SRI 2?

La SRI 2 amplía el ámbito de la SRI 1 para incluir 18 sectores públicos y privados adicionales. Entre ellos, hay varios sectores especialmente críticos como la energía, el transporte y los servicios de administración pública.

El ámbito de la SRI 2 se amplía principalmente a empresas que tengan al menos 50 empleados o alcancen un volumen de negocios anual o un balance general anual de más de 10 millones de EUR. En algunas excepciones, la SRI 2 se aplica independientemente del tamaño de la entidad; por ejemplo, se aplica a todos los proveedores de servicios de comunicaciones electrónicas públicamente disponibles.

Para ver una lista de los sectores, clasificaciones de entidades y requisitos adicionales consulte el monográfico de SRI 2 de Sophos, páginas 3-4.

¿Cómo puedo conseguir el cumplimiento SRI 2 con Sophos?

Sophos ofrece una completa cartera de soluciones y servicios de ciberseguridad para ayudar a los negocios a conseguir y mantener el cumplimiento SRI 2. Sophos proporciona conocimientos y soporte para sus iniciativas de cumplimiento SRI 2 a través de una supervisión de cumplimiento continua y asegurando sus datos y dispositivos. Póngase en contacto con un experto en seguridad de Sophos para aprender más sobre cómo reducir su riesgo.

La Ficha de consulta SRI 2 de Sophos explica los requisitos de SRI 2 y cómo las soluciones de seguridad de Sophos pueden ayudar a los negocios a cumplir los mandatos de cumplimiento SRI 2 para la evaluación de la gestión de riesgos y formación, gestión de incidentes, y las medidas técnicas, operativas y organizativas requeridas para gestionar el riesgo de seguridad a niveles obligatorios.

¿Cómo puedo asegurarme de que sigo cumpliendo la SRI 2 de ahora en adelante?

La SRI 2 y otras regulaciones de ciberseguridad requieren más de una evaluación única del estado actual de su seguridad. Debe mantener un registro de pruebas que demuestre una formación regular de ciberseguridad e higiene para cada aspecto de su entorno de TI, desde controles de acceso a la red y seguridad de dispositivos hasta los datos en sí, tanto en reposo como en movimiento.

Para seguir cumpliendo, las empresas deben establecer un proceso de supervisión continua de sus entornos de TI, que incluya los recursos en la nube, para asegurar que los requisitos normativos se cumplan en todo momento. Las herramientas de automatización y seguridad pueden asistirle escaneando constantemente en busca de amenazas de red y notificándole de inmediato cuando su entorno no cumpla.

Un proveedor de ciberseguridad como servicio (CSaaS) puede ofrecer soporte a este enfoque de cumplimiento continuo porque tiene la experiencia y los recursos dedicados para monitorizar su estado de cumplimiento 24/7. Este modelo ayuda a su equipo de seguridad interno a pasar de reaccionar a las peticiones de auditoría de la SRI 2 a adoptar un enfoque más proactivo. El cumplimiento continuo significa que puede responder con confianza a cualquier escrutinio de la seguridad de sus sistemas y a cualquier consulta sobre sus políticas de privacidad.

¿Debería considerar una evaluación del cumplimiento SRI 2?

Muchas empresas se benefician de contratar un consultor para evaluar el cumplimiento SRI 2 en sus sistemas. Una evaluación SRI 2 proporciona una visión holística de la postura de ciberseguridad de su organización y ofrece información detallada cuando es necesario. Le da un inventario completo de todas las potenciales carencias en su entorno de TI actual e identifica las áreas con necesidad de mejora.

¿Cómo puede la ciberseguridad como servicio (CSaaS) ayudarme en el cumplimiento SRI 2?


Asociarse con un proveedor de ciberseguridad de servicios en la nube reduce la carga en las empresas que carecen de recursos internos para mantener continuamente el cumplimiento SRI 2? Por ejemplo, un proveedor de Managed Detection and Response (MDR) hace uso de expertos en seguridad para investigar y evaluar potenciales riesgos de seguridad en todo su entorno, 24/7, 365 días al año. El Partner MDR adecuado utilizará la mejor información sobre amenazas disponible a escala mundial para identificar su nivel de riesgo y priorizar una respuesta rápida y efectiva para neutralizar las amenazas y asegurar que los datos personales estén protegidos. Descargar la ficha de cumplimiento SRI 2 de Sophos para aprender más sobre cómo la seguridad gestionada puede responder a los requisitos de seguridad de Sophos del cumplimiento normativo.

NIS2 Banner
 


Preguntas frecuentes rápidas sobre la SRI 2

Introducción a la Directiva SRI 2

1. ¿Qué es la Directiva SRI 2? La SRI 2 es una regulación de la UE que se centra en mejorar la ciberseguridad en todos los Estados miembros fijando unos requisitos de notificación de incidentes y seguridad más estrictos.

2. ¿Cuáles son las características más destacadas de la Directiva SRI 2? Las características clave incluyen unos requisitos de seguridad más estrictos, un ámbito ampliado y una notificación de incidentes mejorada.

3. ¿Qué indujo a la Comisión Europea a proponer una nueva Directiva SRI? La Comisión propuso una directiva nueva para responder mejor al entorno de ciberseguridad rápidamente cambiante y a las amenazas emergentes. Ver la diapositiva del webinar SRI 2 de Sophos, las amenazas: (5:18), que habla de estos puntos adicionales.

  • Mayor dependencia de la infraestructura digital: La pandemia de la COVID-19 intensificó la confianza en los sistemas digitales tanto para particulares como empresas, incluidas aquellas empresas que tradicionalmente no se consideraban digitales. Este cambio enfatizó la importancia de tener una seguridad digital sólida.
  • Aumento de ciberataques: Se ha observado un enorme incremento de ciberataques, especialmente de ransomware. Se describe que este tipo de ataques tienen lugar ahora a «escala industrial» y son parte de un negocio lucrativo criminal que genera cientos de millones de EUR.
  • Ataques significativos de la cadena de suministro: El impacto de ataques importantes en la cadena de suministro ha puesto de relieve las vulnerabilidades en las cadenas de suministro interconectadas globalmente, lo que refuerza la necesidad de estrategias de ciberseguridad integrales.
  • Amenazas geopolíticas: La invasión rusa de Ucrania en febrero de 2022 ha subrayado el panorama de ciberamenazas intensificado y la necesidad de una acción a nivel de estado para afrontar estos riesgos.
  • Deficiencias de medidas previas: A pesar de las mejoras que conllevaba la Directiva original, todavía había una variación significativa en los estándares de ciberseguridad de la UE y una percepción inconsistente de ciberamenazas entre los Estados miembros.

4. ¿Qué aspectos de la Directiva SRI 1 anterior se incorporan en la SRI 2? Los elementos principales, como la gestión de riesgos y la notificación de incidentes se han mantenido y mejorado.

5. ¿Cuál son los principales objetivos de la Directiva SRI 2? Los principales objetivos son impulsar la resiliencia de ciberseguridad, mejorar la notificación de incidentes y fomentar la cooperación entre los Estados miembros. Ver la diapositiva del webinar SRI 2 de Sophos, el propósito: (7:54), que habla de estos puntos adicionales.

  • Protección de la infraestructura crítica: Asegurar que la infraestructura y las organizaciones críticas dentro de la UE estén protegidos ante posibles ciberataques.
  • Mejora de las regulaciones existentes: Basándose en los requisitos establecidos por la directiva original, se han introducido medidas más estrictas y guías más completas.
  • Alcanzar niveles de seguridad uniformes: Alcanzar un nivel de ciberseguridad más uniforme y más elevado entre todos los Estados miembros de la Unión Europea.

6. ¿Cuáles son las diferencias clave entre SRI 1 y SRI 2? La SRI 2 introduce unos requisitos de seguridad más estrictos, expande el ámbito de sectores cubiertos e impone una obligación de notificación de incidentes más rigurosa en comparación con la SRI 1.

Implementación y aplicación de la SRI 2

7. ¿Cuándo entrará en vigor la Directiva SRI 2? Está previsto que entre en vigor en octubre de 2024, con una cronología de implementación por fases.

8. ¿Cómo se aplicará la Directiva SRI 2 en los diferentes Estados miembros de EU? Las autoridades nacionales serán responsables de supervisar y garantizar el cumplimiento con la coordinación a nivel de la UE.

9. ¿Cómo deberían prepararse las empresas para la Directiva SRI 2? Las organizaciones deberían empezar a llevar a cabo un análisis de deficiencias que les ayude a mejorar sus medias de ciberseguridad e implementar una supervisión continua e sistemas de notificación.

10. ¿Debería considerar una evaluación del cumplimiento SRI 2? Muchas empresas se benefician de contratar un consultor para evaluar el cumplimiento SRI 2 en sus sistemas e identificar cualquier refuerzo necesario de sus ciberdefensas.

11. ¿Cómo pueden evaluar las organizaciones su estado de cumplimiento actual con la Directiva SRI 2? Las organizaciones pueden utilizar las herramientas de evaluación del cumplimiento, metodologías y consultores para evaluar su postura de seguridad.

12. ¿Qué constituye un plan de respuesta a incidentes efectivo bajo la Directiva SRI 2? Un plan efectivo debería incluir roles definidos, protocolos de comunicación y pruebas regulares.

13. ¿Cómo afecta la Directiva SRI 2 a las pequeñas y medianas empresas (pymes)? Las pymes deben cumplir con las provisiones de la directiva, que pueden comportar inversiones y recursos de seguridad adicionales si cumplen con los requisitos siguientes.

Para empresas dentro de los sectores afectados por la SRI 2, se aplican los umbrales siguientes:

  • Medianas empresas: de 50 a 249 empleados, con un volumen de negocios de menos de 50 millones de EUR y/o un balance general de menos de 43 millones de EUR.
  • Grandes empresas: de 250 o más empleados, con un volumen de negocios de al menos 50 millones de EUR y/o un balance general de al menos de 43 millones de EUR.

14. ¿A quién se le aplica la SRI 2? ¿Qué sectores deberán adoptar la directiva? La SRI 2 se aplica a una amplia gama de sectores, segmentados en dos grupos para sectores esenciales y sectores importantes, tal y como detallamos a continuación:

Si usted está en uno de estos sectores, y tiene al menos 50 empleados y un volumen de negocios de al menos 10 millones de EUR, deberá adoptar la SRI 2. Ver la diapositiva del webinar SRI 2 de Sophos sobre sectores esenciales e importantes.

Sectores esenciales

  • Energía
  • Transporte
  • Banca
  • Infraestructuras del mercado financiero
  • Salud
  • Agua potable
  • Infraestructura digital
  • Tecnología de la comunicación de información
  • Administración pública
  • Espacio

Sectores importantes

  • Servicios de correo y mensajería
  • Gestión de residuos
  • Producción, procesamiento y distribución de alimentos
  • Fabricación, producción y distribución de productos químicos
  • Proveedores digitales
  • Investigación

 

¿Cuál es el alcance de la SRI 2?

15. ¿Qué Estado miembro tendrá la jurisdicción sobre las entidades bajo la SRI 2? La jurisdicción suele determinarse por la ubicación del establecimiento principal de la entidad en la UE.

16. ¿Qué es el artículo 21 y cuáles son las medidas de ciberseguridad requeridas por la Directiva SRI 2? El objetivo del artículo 21 de la Directiva SRI 2 es reforzar los estándares de ciberseguridad y sanciones a la vez que se mejora la ciberresiliencia. Contiene muchos detalles de lo que requiere la directiva, como la implementación de medidas de gestión de riesgos, protocolos de respuesta a incidentes y auditorías de seguridad regulares. Ver la diapositiva del webinar SRI 2 de Sophos, estándares de seguridad: (14:25), que habla de estos puntos adicionales.

  • «Ciberhigiene» básica: cubre prácticas de referencia como la gestión de contraseñas, la protección de administradores de sistemas, actualizaciones de software y la realización de copias de seguridad.
  • Gestión de vulnerabilidades: asegura que las vulnerabilidades en los sistemas se identifiquen y se mitiguen.
  • Seguridad de la cadena de suministro: se centra en asegurar la cadena de suministro contra ciberataques.
  • Cifrado y estándares de criptografía: fija estándares para el cifrado y la criptografía para proteger datos confidenciales.
  • Gestión de activos: comprende la gestión y la protección de activos digitales.
  • Control de acceso y seguridad Zero Trust: implementa medidas estrictas de control de acceso y un modelo de seguridad Zero Trust.
  • Proceso de análisis de riesgos: requiere un proceso de análisis de riesgos que identifica las medidas de seguridad necesarias.
  • Tratamiento y notificación de incidentes: exige procedimientos adecuados para el tratamiento y notificación de incidentes.
  • Continuidad de la actividad: enfatiza la necesidad de planes de gestión de crisis y recuperación ante desastres para garantizar la continuidad del negocio.

17. ¿Qué tipo de incidentes deben notificarse bajo la directiva SRI 2? Deben notificarse aquellos incidentes que alteren significativamente los servicios o comprometan la seguridad.

¿Cómo puedo ceñirme al cumplimiento SRI 2?

18. ¿Cuáles son los requisitos de formación y concienciación bajo la Directiva SRI 2? Los programas de formación y concienciación en ciberseguridad son un requisito imprescindible para todos los empleados.

19. ¿Qué recursos hay disponibles para ayudar a las organizaciones a cumplir con la Directiva SRI 2? Las organizaciones tienen a su disposición documentos de guía, marcos de prácticas recomendadas, servicios de consultoría y servicios de soporte.

20. ¿Cómo se integra la Directiva SRI 2 con los marcos de gobernanza de TI existentes? La SRI 2 se alinea con marcos como COBIT e ITIL para garantizar una gobernanza de TI integral.

21. ¿Cuáles son los requisitos de notificación bajo la Directiva SRI 2? Las entidades deben notificar cualquier incidente significativo en 24 horas y proporcionar actualizaciones sobre los esfuerzos de mitigación respectivos.

22. ¿Qué función desempeñan los proveedores de servicios externos en el cumplimiento SRI 2? Los proveedores y suministradores deben cumplir los mismos estándares de seguridad que sus clientes.

¿Hay riesgos o sanciones de la SRI 2?

23. ¿Qué pasa si no adoptamos la Directiva SRI 2? El incumplimiento puede derivar en importantes sanciones, incluidas multas y restricciones operativas potenciales.

24. ¿Cuáles son las implicaciones financieras del incumplimiento de la Directiva SRI 2? El incumplimiento puede comportar multas cuantiosas y mayores costes operacionales debido a brechas de seguridad.

¿Quién coordina la Directiva SRI 2?

25. ¿Cómo fomentarán las nuevas reglas una mejor cooperación? La directiva promueve el intercambio de información y ejercicios conjuntos entre los Estados miembros.

26. ¿Esta iniciativa se alinea con otras políticas de la EU? La SRI 2 se alinea con políticas más amplias del mercado digital y de ciberseguridad de la UE, como la Reglamento general de protección de datos (RGPD).

27. ¿Cómo planifica la Comisión Europea mejorar la gestión de cibercrisis? Las estrategias incluyen establecer marcos de respuesta coordinados y promocionar la cooperación transfronteriza.

Explicar las consideraciones estratégicas

28. ¿Cuáles son los beneficios de cumplir la Directiva SRI 2? El cumplimiento mejora la seguridad, potencia la reputación e impulsa la competitividad a la vez que evita el impacto financiero del incumplimiento.

29. ¿Cómo un CSaaS puede respaldar el cumplimiento SRI 2? Asociarse con una empresa de seguridad externa que ofrezca ciberseguridad como un servicio en la nube reduce la supervisión constante, la detección y la carga de respuesta en aquellas empresas que carezcan de recursos internos para mantener un cumplimiento continuo de la SRI 2.

30. ¿Cómo da respuesta la Directiva SRI 2 a las amenazas de ciberseguridad emergentes? Incluye provisiones para adaptarse a amenazas de ciberseguridad nuevas y cambiantes.

¿Cómo implementar SRI 2?

31. ¿Cuáles son los pasos posteriores para implementar la Directiva? Los pasos incluyen entender la transposición nacional para su país, el compromiso de las partes interesadas y el establecimiento de mecanismos de aplicación. Una lista completa de los productos Sophos disponibles para ayudar a los operadores a cumplir está disponible para su descarga en el monográfico de SRI 2.

32. ¿Cómo pueden las organizaciones utilizar la tecnología para cumplir con los requisitos de la Directiva SRI 2? Utilizando herramientas de seguridad avanzadas y la automatización puede ayudar a cumplir los requisitos de cumplimiento de manera eficiente.

 

Recursos SRI 2

Prepararse para el cumplimiento SRI 2

Aprender sobre los requisitos de la SRI 2

Descargar la ficha de cumplimiento SRI 2

Reforzar su ciberseguridad: Entender la Directiva SRI 2

Vídeo: Webinar de SRI 2 de Sophos

Asesoramiento de Sophos sobre el Reglamento sobre la resiliencia operativa digital (DORA)