La guía técnica de la Agencia de Ciberseguridad de la Unión Europea (Enisa) tiene el objetivo de ayudar a las entidades a implementar el acto de ejecución 2024/2690 de la Directiva NIS2, que establece medidas de ciberseguridad en 18 sectores críticos, como las infraestructuras digitales, el transporte, la salud o la energía.
La nueva guía proporciona orientación sobre los requisitos de ciberseguridad de la Directiva NIS2 relativos a 13 bloques, como la política de seguridad de las redes y sistemas de información. En este caso, las entidades deben establecer una política formal que defina responsabilidades, objetivos y compromisos de mejora continua, además de un sistema de revisión periódica.
En materia de gestión de riesgos, se exige un marco de trabajo para identificar, analizar y tratar los riesgos, incluyendo la definición de criterios de aceptación y planes de tratamiento. Según el documento, también deben existir procedimientos definidos para la detección, respuesta, recuperación y documentación de incidentes, como sistemas de clasificación y planes de comunicación internos y externos.
Políticas de seguridad y medidas criptográficas
Para la continuidad del negocio y la gestión de crisis, las entidades han de disponer de planes de recuperación ante desastres y gestión de crisis, con estrategias para la redundancia de servicios y recuperación operativa. En esta misma línea, las entidades deben establecer políticas para evaluar de manera continua la efectividad de sus controles y sistemas de seguridad.
En cuanto a la seguridad de la cadena de suministro, es obligatorio gestionar los riesgos derivados de terceros mediante controles, auditorías y cláusulas contractuales de seguridad. En el ámbito de la seguridad en la adquisición, desarrollo y mantenimiento de sistemas, se deben aplicar prácticas de desarrollo seguro, gestión de configuraciones y actualizaciones, y protección contra software malicioso y vulnerabilidades.
El bloque de formación y buenas prácticas recoge como esencial la sensibilización y capacitación del personal en materia de higiene digital, adaptando los contenidos a los distintos perfiles de riesgo. Además, la seguridad de los recursos humanos incluye procesos de verificación de antecedentes, asignación clara de funciones y procedimientos de salida o cambio de rol.
Por su parte, las medidas criptográficas deben estar reguladas por políticas formales, alineadas con estándares adecuados para garantizar la confidencialidad e integridad. En lo referente al control de accesos, la guía refleja que se deben gestionar rigurosamente a través de autenticación multifactor cuando sea pertinente, especialmente en cuentas privilegiadas.
Para la gestión de activos, es necesario inventariar y clasificar todos los críticos, establecer políticas para medios extraíbles y controlar el uso y eliminación de recursos. Por último, la publicación ofrece directrices para la seguridad física, mantener la disponibilidad energética y prevenir amenazas ambientales.
Recomendaciones para la gestión de riesgos de ciberseguridad
Se trata de un documento técnico y metodológico no vinculante que ofrece recomendaciones estructuradas para que las entidades de sectores críticos comprendan y apliquen las medidas de gestión de riesgos de ciberseguridad. Así, propone realizar auditorías independientes, evaluaciones internas y revisiones tras incidentes relevantes. Además, proporciona a las entidades numerosos ejemplos de evidencias.
En el ámbito de aplicación de la Directiva NIS2, se encuentran los proveedores de DNS (Domain Name System), redes de distribución de contenido y mercados online, así como los proveedores de servicios de computación en la nube, centros de datos, de seguridad gestionados y de confianza. También los registros de TLD (Top-Level Domain), los motores de búsqueda online y las plataformas de servicios de redes sociales.