Cómo prepararse para NIS2: lo que necesita saber

Mucho se ha escrito sobre NIS2 recientemente a medida que nos dirigimos hacia un hito clave en su implementación. Para los 18^el de octubre de 2024, los Estados miembros deberán adoptar y publicar las medidas necesarias para cumplir con la directiva NIS2.

Si bien esa fecha puede inculcar pánico entre muchos, es solo la fecha en que los países individuales necesitan adoptar NIS2 como ley y derogar NIS1 (UE 2016/1148). El cronograma para el cumplimiento de las organizaciones individuales se definirá en las leyes promulgadas por los estados individuales. Para algunos, esto podría ser hasta cuatro años después de esta fecha.

No importa cuándo NIS2 entrará en vigor, es hora de que las organizaciones comiencen a prepararse para cumplir con los mandatos de NIS2 para ciberresiliencia.

¿Cuál es la diferencia entre NIS1 y NIS2?

Muchos se han preguntado por qué se necesita una versión dos o incluso una futura versión tres de la directiva NIS.

La respuesta simple es que las cosas cambian.

La nueva directiva NIS2 refleja mejor el panorama actual de ciberseguridad. También realiza actualizaciones basadas en los aprendizajes de NIS1.

Desde NIS1 entró en vigor en 2016:

• Los tipos de organizaciones que se ven como críticas han cambiado.

• La tecnología ha cambiado con un aumento en la automatización y los dispositivos inteligentes.
• La ciberseguridad ha cambiado donde el antiguo enfoque de proteger las redes estáticas ha sido reemplazado por un enfoque más ágil.
• La adopción de Cero Confianza ha simplificado la forma en que se implementa la ciberseguridad, lo que resulta en un enfoque más seguro a menor costo.
• Los tipos de ciberataques han cambiado con un aumento en los ataques disruptivos y la aparición de ataques generados por IA.

La otra razón principal para una actualización de NIS1 es mejorar la gobernanza. La idea en 2016 era que cada estado desarrollara su propio conjunto de regulaciones y el regulador nacional las hiciera cumplir. Desafortunadamente, ha habido una gran disparidad en la forma en que cada país ha implementado NIS1, por lo que NIS2 establece algunas normas mínimas para ciertas áreas de enfoque y proporciona una mayor supervisión a la Comisión Europea.

El cambio final es una reclasificación de las organizaciones y una expansión en el número y tamaño de las organizaciones incluidas en la directiva:

• Se sustituye la distinción entre servicios esenciales y prestadores de servicios digitales por clasificar a las organizaciones por su importancia para el país y dividirlas en categorías esenciales e importantes.

• Las organizaciones con más de 50 empleados y una facturación anual de más de 50 millones de euros ahora se clasifican como importantes.

¿Cómo afectará NIS2 a mi organización?

NIS2 busca armonizar los requisitos en todos los estados miembros mediante el establecimiento de reglas específicas para los marcos establecidos por los miembros. Esto se centra en ciertos medidas de ciberseguridad, incluyendo:

• Análisis de riesgos y políticas de seguridad del sistema de información
• Manejo de incidentes
• Continuidad del negocio y administración de crisis
• Seguridad de la cadena de suministro

• Adquisición, desarrollo y mantenimiento de redes y sistemas seguros, incluido el manejo y la divulgación de vulnerabilidades
• Políticas y procedimientos para evaluar la eficacia de las medidas
• Prácticas básicas de higiene informática y capacitación en ciberseguridad
• Políticas y procedimientos relacionados con el uso de criptografía/encriptación
• El uso de MFA, de las comunicaciones seguras y de las de emergencia aseguradas

Los Estados miembros en los que estas medidas no estén ya incorporadas en las reglamentaciones nacionales tendrán que añadir estas características. Y las organizaciones de estos países que aún no implementan estos controles tendrán que adoptarlos.

Probablemente el mayor impacto de NIS2 sea en organizaciones que no han sido cubiertas previamente por NIS1. Si bien esto suena preocupante, la investigación de ENISA muestra que el presupuesto promedio para las implementaciones de NIS es para proyectos que duran de 14 a 18 meses.

¿Qué puede hacer ahora mi organización para prepararse para NIS2?

En 2016, las organizaciones estaban limitadas en las herramientas y enfoques de seguridad disponibles, atrapadas por tecnologías estáticas como AV tradicionales, NAC y firewalls, y visibilidad limitada.

A pesar de que se estaba discutiendo Zero Trust en ese momento, el enfoque seguía siendo tratar de prevenir cada ataque tratando de detectar todo el malware. Hoy en día, la amenaza combinada del ransomware y la IA plantea nuevos problemas que la directiva NIS2 intentará abordar.

Si bien los requerimientos técnicos específicos de NIS2 aún no están disponibles para cada estado miembro, las organizaciones pueden comenzar su camino hacia el cumplimiento de normas adoptando un enfoque de contención de brechas utilizando tecnologías como Segmentación de confianza cero, también llamada microsegmentación. Este enfoque moderno asume que las brechas son inevitables y, en respuesta, garantiza que se implementen medidas de seguridad proactivas.

Una estrategia de contención de brechas de Zero Trust incluye estos pilares clave:

1. Asume la violación y planifique para ello

2. Identificar todos los activos y recursos y mapear interdependencias

3. Protéjase contra todas las vulnerabilidades y puertos expuestos

4. Responda rápidamente y con agilidad

5. Restore de manera segura sin reinfección

El propósito de la directiva NIS es mejorar la resiliencia de la infraestructura crítica en toda la Unión Europea. Esto significa asegurarse de que los servicios se puedan mantener mientras se está bajo ataque.

Para lograr esto, el enfoque debe cambiar de intentar detener un ataque a asegurarse de que un ataque esté contenido y no pueda llegar a los recursos críticos para el negocio de una organización.

¿Cómo se alinea Illumio con los requerimientos de NIS2?

NIS2 se enfoca en estandarizar medidas clave de ciberseguridad, e Illumio Zero Trust Segmentation (ZTS) le ayuda a cumplir con lo siguiente.

1. Políticas sobre análisis de riesgos y seguridad de la información

El mapeo de dependencia de aplicaciones proporciona una visibilidad completa del tráfico en todas las cargas de trabajo, incluidos contenedores, IoT y máquinas virtuales, en una sola consola. Esto permite a los equipos de seguridad identificar los riesgos de la red y crear políticas de seguridad que bloquean conexiones innecesarias entre puertos.

2. Manejo de incidentes

Durante una brecha activa, Illumio puede responder rápidamente para restringir el acceso a recursos críticos, detener la propagación de un ataque y aislar completamente los sistemas comprometidos. Después de la violación, ZTS separa inteligentemente el sistema infectado en tiempo real para permitir una restauración segura de los datos.

3. Continuidad del negocio y administración de crisis

Los equipos de seguridad y TI pueden usar Illumio para configurar la protección alrededor de departamentos y sistemas individuales para que puedan reanudar las operaciones mientras están protegidos del ataque. Cualquier intento de reinfectar se puede prevenir al permitir únicamente la conexión con un origen de datos inmutable durante la recuperación de brechas.

4. Seguridad de la cadena de suministro

Illumio permite únicamente la comunicación conocida y verificada entre entornos. Esto asegura que cuando hay una brecha en la cadena de suministro, ZTS impedirá que la brecha entre y se extienda a los sistemas de la organización.

5. Seguridad en redes y sistemas de información

Illumino extiende la microsegmentación consistente en todos los entornos, desde data centers locales hasta entornos híbridos y multinube. Esto asegura que una violación se detenga y se contenga de inmediato para que los atacantes no puedan moverse a otras partes de la red.

6. Políticas y procedimientos para evaluar la eficacia de las medidas

El panel de protección contra ransomware de Illumio ayuda a prepararse y proteger mejor contra la amenaza de ataque al proporcionar información sobre la exposición al riesgo de carga de trabajo, visibilidad de las cargas de trabajo protegidas frente a las no protegidas y una puntuación de cobertura de protección.

7. Prácticas básicas de higiene informática y capacitación en ciberseguridad

La visibilidad de extremo a extremo de Illumio de toda la superficie de ataque proporciona información sobre las brechas de seguridad que ayudan a informar las necesidades de higiene cibernética y capacitación. ZTS también asegura que los errores humanos inevitables no dejen vulnerabilidades para que los atacantes las exploten.

8. Seguridad de recursos humanos, controles de acceso y medidas de administración de activos

Con Illumio, los equipos de seguridad pueden implementar políticas de segmentación granular para limitar el acceso a los sistemas, incluidos los recursos de recursos humanos. Esto significa que si una parte de la red es violada, los atacantes no pueden propagarse a los recursos críticos.

Obtenga más detalles en Lograr el cumplimiento de NIS2 con Illumio.

NIS2: Un marco más simple para asegurar los servicios esenciales

En comparación con las estrategias tradicionales de prevención y detección, un enfoque de contención de brechas es mucho más simple porque las organizaciones solo necesitan definir las pocas cosas que están permitidas en la red en lugar de las miles de cosas que deben detenerse. La capacidad de la IA para encontrar vulnerabilidades y conexiones abiertas nos hace más susceptibles a una brecha, pero un cambio en el enfoque puede ayudar.

Al enfocarse en proteger el recurso independientemente de si se encuentra en un servidor, en la nube o en un dispositivo OT ahorra la complejidad de intentar diseñar políticas para tecnologías de seguridad estáticas basadas en la red.

Obtenga más información sobre cómo Illumio protege organizaciones de servicios esenciales.

Póngase en contacto con nosotros hoy para una demostración y consulta gratuitas.