Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Cumpliendo con la NIS2

Si perteneces a alguno de estos sectores, realizas alguno de los tipos de actividades descritas en los anexos I y II de la Directiva NIS2, eres una mediana o gran empresa y en algunos casos sin importar tu tamaño, has de cumplir con lo indicado en la norma. Estos son los sectores energía; transporte; banca; infraestructuras de mercados financieros; sector sanitario; agua potable; aguas residuales; infraestructura digital; gestión de servicios TIC; espacio; servicios postales y de mensajería; gestión de residuos; fabricación, producción y distribución de sustancias y mezclas químicas; producción, transformación y distribución de alimentos; proveedores de servicios digitales; investigación; y fabricación de productos sanitarios, informáticos, electrónicos y ópticos, material eléctrico, maquinaria, vehículos de motor y material de transporte. Te ayudamos a cumplir las medidas mínimas indicadas en el artículo 21 y la notificación de incidentes según el artículo 23.

Índice de contenidos

  1. Cumplimiento de las medidas técnicas, operativas y de organización
  2. Notificación de incidentes significativos

Cumplimiento de las medidas técnicas, operativas y de organización

Según el art. 21.1 “Los Estados miembros velarán por que las entidades esenciales e importantes tomen las medidas técnicas, operativas y de organización adecuadas y proporcionadas para gestionar los riesgos que se planteen para la seguridad de los sistemas de redes y de información que utilizan dichas entidades en sus operaciones o en la prestación de sus servicios y prevenir o minimizar las repercusiones de los incidentes en los destinatarios de sus servicios y en otros servicios. 

Teniendo en cuenta la situación y, en su caso, las normas europeas e internacionales pertinentes, así como el coste de su aplicación, las medidas a que se refiere el párrafo primero garantizarán un nivel de seguridad de los sistemas de redes y de información adecuado en relación con los riesgos planteados. Al evaluar la proporcionalidad de dichas medidas, se tendrá debidamente en cuenta el grado de exposición de la entidad a los riesgos, el tamaño de la entidad y la probabilidad de que se produzcan incidentes y su gravedad, incluidas sus repercusiones sociales y económicas”. 

Y según el art. 21.2 “Las medidas a que se hace referencia en el apartado 1 se fundamentarán en un enfoque basado en todos los peligros que tenga por objeto proteger los sistemas de redes y de información y el entorno físico de dichos sistemas frente a incidentes, e incluirán al menos los siguientes elementos: […]” Se indica a continuación los distintos recursos que puedes encontrar en INCIBE para ayudarte con el cumplimiento de cada uno de los elementos del Art.21.2.

Gestión de riesgos

Gestión de riesgos. Una guía de aproximación para el empresario

Guías

Las decisiones de seguridad de la información son en realidad decisiones de gestión de riesgos. En esta guía se describen los conceptos y claves.

guía ciberamenazas

Ciberamenazas contra entornos empresariales: una guía de aproximación para el empresario

Guías

En esta guía se describen las principales ciberamenazas, cómo evitar caer en ellas y, en caso de haber sufrido un incidente, qué hacer.

Gestión de riesgos

Herramienta de autodiagnóstico

ADL

Para ayudar a las empresas a evaluar su estado de ciberseguridad y a avanzar hacia mayores niveles de protección, INCIBE pone a su disposición una herramienta de autodiagnóstico especialmente diseñada para este fin.

Auditoría de sistemas

Auditoría de sistemas

Políticas de seguridad para la pyme

Si no sabes cómo está la seguridad de tus sistemas, no puedes mejorarla.

Plan director de seguridad

Plan director de seguridad

Políticas de seguridad para la pyme

Organiza tus proyectos de ciberseguridad.

guía notificacion

Guía nacional de notificación y gestión de ciberincidentes

Guías

Proporciona las directrices para el cumplimiento de las obligaciones de reporte de incidentes de ciberseguridad acaecidos en el seno de las Administraciones públicas, las infraestructuras críticas y operadores estratégicos de su competencia, así como el resto de entidades comprendidas en el ámbito de aplicación del Real Decreto-Ley 12/2018.

Cómo proteger la información personal de los clientes en la empresa

Cómo gestionar una fuga de información. Una guía de aproximación al empresario

Guías

El objetivo de esta guía es ayudar al empresario a conocer los pasos a dar en caso de haber sufrido un incidente de fuga de información y prevenirlo.

TemáTICa Gestión de incidentes

TemáTICa Gestión de incidentes

TemáTICa

La gestión de incidentes de seguridad sirve para minimizar el impacto de los incidentes de seguridad que puedan afectar a la empresa, disminuyendo los costes provocados por el mismo y favoreciendo una rápida recuperación de la actividad.

Juego de rol

Juego de rol

Juego de rol

Si ocurriera ahora un incidente de seguridad en tu empresa, ¿estaríais preparados para afrontarlo?

Respuesta a incidentes

Política de respuesta a incidentes

Políticas de seguridad para la pyme

Que los incidentes pueden ocurrir es un hecho. La clave para que no cunda el pánico y evitar males mayores: ¡estar preparados!

Gestión de logs

Política de gestión de logs

Políticas de seguridad para la pyme

Monitoriza para comprobar que todo funciona bien y para analizar qué ha fallado. ¿Lo haces?

Plan de contingencia y continuidad de Negocio

Plan de contingencia y continuidad de negocio

Dosier

El plan de contingencia y continuidad de negocio regula los mecanismos a poner en marcha en caso de un incidente grave de seguridad.

Copias de seguridad

Copias de seguridad: una guía de aproximación para el empresario

Guías

Esta guía proporciona información detallada sobre los aspectos más relevantes de las copias de seguridad, para comprender tanto la importancia de su implantación en las empresas como las distintas soluciones aplicables dependiendo de nuestro modelo de negocio.

Servicios operadores

INICIBE-CERT: servicios a operadores

Servicios operadores

INCIBE trabaja en mecanismos para la prevención y reacción a incidentes de seguridad de la información.

Continuidad de negocio

Política de continuidad de negocio

Políticas de seguridad para la pyme

Vive como si el desastre fuera a ocurrir mañana y aprende como si tu negocio fuera a continuar para siempre.

Continuidad de negocio

Política de copias de seguridad

Políticas de seguridad para la pyme

Te van a sacar de más de un apuro pero: ¿cuándo la hiciste por última vez?, ¿dónde está?, ¿sabes recuperarla?

Contratación de servicios

Contratación de servicios

Dosier

A la hora de contratar un servicio, además de cuestiones como el precio, flexibilidad de pago, referencias de otros clientes, etc., debemos considerar los aspectos relativos a la ciberseguridad.

TemáTICa Cloud

TemáTICa Cloud

TemáTICa

Además de permitirnos almacenar y administrar datos en servidores remotos, nos ofrece ventajas como el pago por uso, el acceso desde cualquier lugar, la unificación de recursos y una implementación rápida, al evitarnos tener que construir o mantener infraestructuras.

Cloud computing

Cloud computing: una guía de aproximación para el empresario

Guías

Esta guía da información detallada sobre los distintos tipos de servicios y contratos existentes en la nube, señalando las ventajas e inconvenientes de cada uno de ellos.

Relación con proveedores

Relación con proveedores

Políticas de seguridad para la pyme

Traslada a tus proveedores la seguridad que aplicas en tu oficina cuando contratas algún servicio. ¡Atento, no te descuides!

Almacenamiento en la nube

Almacenamiento en la nube

Políticas de seguridad para la pyme

La nube es una opción, pero, ¡vigila qué y cómo permites que se almacene allí!

Buenas prácticas en el área de informática

Buenas prácticas en el área de informática

Dosier

Con el objeto de dar a conocer cómo tratar los riesgos que suponen las amenazas, se especifica un conjunto de buenas prácticas para la gestión de activos de información, la seguridad en las operaciones y la gestión de incidentes.

Seguridad en redes wifi

Seguridad en redes wifi: una guía de aproximación para el empresario

Guías

Proteger las comunicaciones es de gran importancia para preservar la integridad de la información de cualquier empresa. En esta guía aprenderás cuanto necesitas para hacer que tus redes inalámbricas sean más seguras.

Políticas de seguridad

Cumplimiento legal

Comercio electrónico

Políticas de seguridad para la pyme

Gestión de riesgos

Gestión de riesgos. Una guía de aproximación para el empresario

ENISA - Risk Management

Guías

Las decisiones de seguridad de la información son en realidad decisiones de gestión de riesgos.

Políticas de seguridad

Actualizaciones de software

Antimalware

Políticas de seguridad para la pyme

Desarrollar cultura en seguridad

Desarrollar cultura en seguridad

Dosier

Los auténticos protagonistas de la seguridad en las empresas son los empleados, que son los que gestionan y utilizan los dispositivos tecnológicos de nuestra organización para gestionar nuestro principal activo: la información.

guía ciberamenazas

Ciberamenazas contra entornos empresariales: una guía de aproximación para el empresario

Guías

En esta guía se describen las principales ciberamenazas, cómo evitar caer en ellas y, en caso de haber sufrido un incidente, qué hacer.

Itinerarios interactivos

Itinerarios interactivos

Itinerarios

Si en tu empresa quieres lanzar una formación básica, empieza por el itinerario interactivo que más se adapte a tu sector de actividad.

TemáTICas

TemáTICas

TemáTICas

Phishing, ransomware, ingeniería social, comercio electrónico, gestión de incidentes... La ciberseguridad abarca muchos conceptos que no siempre tenemos del todo claros. Para arrojar luz sobre estas cuestiones, ponemos a tu disposición esta sección

Formación

INCIBE Formación

ENISA - Awarenes raising

Formación

Actualiza tus conocimientos y los de tus empleados en materia de ciberseguridad con estos servicios gratuitos.

Casos reales

Casos reales del 017

Casos reales

No te pierdas los casos reales del 017 con los que descubrirás nuevos fraudes y nuestros consejos para solventarlos y protegerte de ellos.

Técnicas cripotográficas

Uso de técnicas criptográficas

El cifrado de información es una técnica de protección que podemos aplicar en la empresa. ¡Elige cómo y cuándo!

Políticas para la pyme

ENISA

ENISA - Cryptography

En cooperación con la Comisión Europea, los Estados miembros y otros organismos de la UE, la ENISA colabora con grupos de expertos para abordar los nuevos retos y promover buenas prácticas en la aplicación de soluciones criptográficas, con especial atención a la computación postcuántica.

ENISA - Cryptography

Servicios operadores

INICIBE-CERT: servicios a operadores - monitorización de activos

Servicios operadores

INCIBE trabaja en mecanismos para la prevención y reacción a incidentes de seguridad de la información.

Desarrollar cultura en seguridad

Desarrollar cultura en seguridad

Dosier

Los auténticos protagonistas de la seguridad en las empresas son los empleados, que son los que gestionan y utilizan los dispositivos tecnológicos de nuestra organización para gestionar nuestro principal activo: la información.

Temática autenticación

TemáTICa Autenticación

TemáTICas

Puntos claves en relación a una autenticación segura: el control de acceso a las aplicaciones críticas y áreas restringidas y la gestión de claves de forma segura.

Servicios operadores

INICIBE-CERT: servicios a operadores - medición y mejora de la ciberresiliencia

Servicios operadores

INCIBE trabaja en mecanismos para la prevención y reacción a incidentes de seguridad de la información.

Temática autenticación

Medición y mejora de la ciberresiliencia - ENISA Secure SME

SecureSME

Cómo proteger a tus empleados y a la empresa de un ciberataque.

Notificación de incidentes significativos

Por otra parte, las entidades afectadas por NIS2 deberán notificar, siguiendo los plazos del art.23, cualquier incidente significativo, es decir, aquel que:

  1. ha causado o puede causar graves perturbaciones operativas de los servicios o pérdidas económicas para la entidad afectada;
  2. ha afectado o puede afectar a otras personas físicas o jurídicas al causar perjuicios materiales o inmateriales considerables.

Estos son los recursos que pueden ayudarte a cumplir con este artículo de la NIS2:

Compartir en Redes Sociales