Una nueva directiva de ciberseguridad (NIS 2) entrará en vigor a partir de 2025. Esta directiva se aplica en toda Europa y pretende endurecer las obligaciones de las empresas al introducir nuevos requisitos en términos de protección de datos y de cumplimiento de la normativa. Un nuevo requisito de la directiva NIS 2 es la ampliación del ámbito de aplicación a varios miles de organizaciones y unas 160.000 instituciones en Europa. Ante el recrudecimiento de la cibercriminalidad, esta nueva aplicación pretende fortalecer la protección de los sistemas de información, de las redes informáticas y de los datos.
Las entidades esenciales (con un volumen de negocios de más de 50 millones de euros y más de 250 empleados) y las entidades importantes (con un volumen de negocios de más de 10 millones de euros y más de 50 personas) de los sectores críticos y de alta criticidad (ver la tabla a continuación) se verán afectadas por está nueva directiva que tiene como objetivo fortalecer la ciberseguridad.
Sectores de alta criticidad | Sectores críticos |
---|---|
|
|
Mientras que la primera versión de la directiva se enfocaba en los puntos siguientes:
- La mejora de las capacidades en materia de ciberseguridad a escala nacional
- El fortalecimiento de los intercambios dentro de la Unión Europea
- La introducción de obligaciones de gestión de riesgos y de notificación de incidentes para los operadores de servicios esenciales y los proveedores de servicios digitales que procesan datos.
La segunda versión de la directiva europea NIS 2 presenta nuevos desafíos para las empresas y especialmente las directrices siguientes:
- Adoptar un enfoque de análisis y de gestión de riesgos (Artículo 20 - Gobernanza y formación)
- Asegurar la continuidad de las actividades y la seguridad de la cadena de suministro.
- Garantizar la seguridad en la implementación, el desarrollo y el mantenimiento de las redes y sistemas de información (Artículo 21 - Medidas para la gestión de riesgos)
- Notificar los incidentes susceptibles de causar daños operativos o financieros significantes en un plazo de 24 horas (Artículo 23 - Notificación de incidentes)
Si las empresas se ven afectadas por esta nueva directiva digital, también lo están los proveedores, que están obligados a garantizar la seguridad y el mantenimiento de los productos así como a notificar cualquier incidente que pueda causar daños operativos.
De acuerdo con el barómetro mundial de la seguridad electrónica para el año 2024, el 51% de las empresas invierten en equipamiento para identificar las amenazas y detectar los eventos para un mejor cumplimiento de la directiva. Ante el recrudecimiento de las amenazas y la evolución rápida de las normativas en términos de seguridad de redes, el 85% de las empresas desean anticipar y prevenir las amenazas para protegerse de ellas. La videovigilancia ocupa la segunda posición de las inversiones que aumentarán en los próximos 18 meses para el 55% de las empresas encuestadas, por detrás del control de acceso (fuente: barómetro de la empresa securitas technology).
Los servidores de tiempo son esenciales para asegurar la seguridad de los datos informáticos y para cumplir con los nuevos requisitos europeos, a través de 3 principales cuestiones:
¿Qué soluciones adoptar para reducir la superficie de ataque?
Se recomienda instalar una fuente local fiable para no depender de recursos externos y para eliminar los riesgos asociados a recuperar la hora de Internet. El servidor de tiempo Bodet asegura la seguridad de las redes usando las funciones siguientes:
- Partición física al añadir tarjetas de red modulares
- Partición lógica según el estándar 802.1Q (VLAN)
- Filtrado de red según el estándar 802.1X
- Control del tráfico mediante un cortafuegos integrado
¿Cómo asegurar la seguridad de un sistema de registro?
Dentro de una red informática, se debe registrar cada evento, especialmente para garantizar la trazabilidad de la información, la anterioridad de los archivos, el acceso a los datos, e incluso para constituir una prueba jurídica. El registro resulta esencial para mejorar la seguridad de un sistema de información. Un servidor de tiempo Bodet proporciona la marca de tiempo de todos los equipos digitales al distribuir una información horaria autenticada mediante una clave simétrica que cumple los requisitos de conformidad de la nueva directiva NIS 2.
¿Cómo proteger la administración de los sistemas de información?
La administración de los sistemas de información es un vector de ataque a menudo utilizado por los cibercriminales, con el fin de comprometer el funcionamiento y la seguridad de una instalación y de sus datos. Los servidores de tiempo Bodet responden a está problemática al ofrecer los servicios siguientes:
- Interfaz web disponible en HTTPS
- Autenticación de usuario cifrada mediante LDAPS o RADIUS
- Supervisión cifrada mediante Syslog o SNMPv3
Más concretamente, la directiva NIS 2 sobre la ciberseguridad se enfoca en dos problemáticas que se plantean hoy en día: la seguridad de la arquitectura y el registro del sistema de información para asegurar una mejor protección de los datos.
Un servidor de tiempo desempeña un papel importante a la hora de afrontar estos retos:
- El registro, el análisis y la correlación de toda la red informática: el servidor de tiempo desempeña un papel importante para sincronizar todos los equipos de la red y analizar los registros.
- La seguridad de la arquitectura: el servidor de tiempo se vuelve esencial para alejarse de las fuentes NTP externas.
Hoy en día, los actores de la ciberseguridad ayudan a las empresas a transformarse y cumplir esta nueva normativa. Al proporcionar verdaderas soluciones y nuevas aplicaciones, las entidades e instituciones están exentas de sanciones que pueden costar hasta 10 millones de euros o el 2% del volumen de negocios anual por infraestructuras digitales no conformes. Aunque parece que queda tiempo antes del 2025 para implementar la segunda versión de la directiva NIS, el periodo de transposición de la directiva se finalizará en octubre 2024, lo que representa un desafío crucial y urgente para las empresas europeas esenciales e importantes. Esta nueva directiva se aplica a todos los estados miembros de la Unión Europea con el fin de ofrecer un mayor nivel de seguridad y así asegurar la seguridad de los datos, esto siendo el desafío financiero del futuro.
Bodet Time ayuda a las empresas a cumplir con la directiva NIS 2 mediante el uso de un servidor de tiempo Netsilon. Para tener más información sobre los servidores de tiempo Bodet y sus aplicaciones, visite nuestra página dedicada.