12.5 C
Madrid
viernes, abril 19, 2024

Camino de sentar las bases de una mejor protección frente a los ciberataques

Debe leer

En enero de 2023, los Estados miembros de la Unión Europea aprobaron oficialmente una actualización de la Directiva sobre redes y sistemas de información (NIS por sus siglas en inglés) de 2016. Esta revisión, conocida como NIS2, surge como respuesta a diversos ciberataques perjudiciales que han ganado notoriedad en los medios de comunicación.

La NIS2 fortalece los estándares de seguridad, simplifica los procedimientos de notificación y establece medidas de supervisión más rigurosas junto con requisitos de cumplimiento más estrictos.

Para el 17 de octubre de 2024, se espera que la Comisión Europea (CE) adopte actos de implementación obligatorios sobre notificación de incidentes con respecto a proveedores de servicios DNS, registros de nombres de TLD, proveedores de servicios de computación en la nube, proveedores de servicios de centros de datos, proveedores de redes de entrega de contenido, proveedores de servicios gestionados, proveedores de servicios de seguridad gestionados, así como proveedores de mercados en línea, de motores de búsqueda en línea y de plataformas de servicios de redes sociales, especificando los casos en los que un incidente se considerará significativo.

En el marco de su Iniciativa de Implementación NIS2, ECSO, la Organización Europea de Ciberseguridad, ha celebrado recientemente un taller sobre la Ley de implementación NIS2 con representantes de la industria y la Comisión Europea, centrado en especificar umbrales para la notificación de incidentes significativos. Los resultados de la reunión se han publicado en el documento ‘Taller de implementación NIS2 de ECSO: La voz de la industria’, o ‘Voice of Industry’, en inglés.

El informe completo puede encontrarse en este enlace.

El documento presenta los pros y los contras de diferentes escenarios con el fin de establecer umbrales para la notificación de incidentes importantes. El documento también proporciona una serie de recomendaciones que deben tenerse en cuenta a la hora de redactar el acto de ejecución.

Entre las recomendaciones, la industria destaca la necesidad de tener definiciones claras sobre qué constituye un incidente y qué define un incidente significativo. Es importante clasificar los incidentes en función de parámetros predefinidos, como el número de instancias o clientes afectados, pero la ponderación de parámetros específicos varía entre empresas, sectores y países, lo que dificulta establecer un conjunto básico de parámetros para definir la gravedad. del incidente.

Otras recomendaciones clave incluyen el hecho de que la industria no considera eficaz especificar el tipo de amenaza en la Ley de Ejecución (por ejemplo, ransomware), ya que los impactos pueden variar y el nivel de importancia de un incidente puede cambiar con el tiempo con la evaluación continua. Por lo tanto, el marco de notificación de incidentes debe ser flexible.

De igual modo, entiende que los umbrales deben estar vinculados a los requisitos de los proveedores de servicios digitales y no a la entidad que se beneficia del servicio, dado que los proveedores carecen de visibilidad sobre la información clave sobre incidentes de un cliente (por ejemplo, número de usuarios afectados, tamaño y criticidad de la empresa).

Más recomendaciones es que el marco de notificación de incidentes debe ser sencillo, fácil de usar y centrado en parámetros mensurables, que los requisitos establecidos en el acto de ejecución deben armonizarse con otras políticas de la UE que abordan la notificación de incidentes y que debe establecerse un vínculo claro entre el acto de ejecución sobre medidas de seguridad y el de notificación de incidentes.

ECSO aplaude los esfuerzos de los socios institucionales para fomentar el diálogo entre los formuladores de políticas y las partes interesadas de la industria. ECSO sigue de cerca la implementación de NIS2 a través de una iniciativa dedicada que se espera publique un Libro Blanco sobre las principales prioridades y desafíos de la implementación de NIS2. Se puede encontrar más información sobre la iniciativa y el Libro Blanco relacionado en este enlace.

spot_img

DEJA UN COMENTARIO

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí

Publicidad

spot_img

Últimas Noticias