Cumpliendo con la NIS2
Si perteneces a alguno de estos sectores, realizas alguno de los tipos de actividades descritas en los anexos I y II de la Directiva NIS2, eres una mediana o gran empresa y en algunos casos sin importar tu tamaño, has de cumplir con lo indicado en la norma. Estos son los sectores energía; transporte; banca; infraestructuras de mercados financieros; sector sanitario; agua potable; aguas residuales; infraestructura digital; gestión de servicios TIC; espacio; servicios postales y de mensajería; gestión de residuos; fabricación, producción y distribución de sustancias y mezclas químicas; producción, transformación y distribución de alimentos; proveedores de servicios digitales; investigación; y fabricación de productos sanitarios, informáticos, electrónicos y ópticos, material eléctrico, maquinaria, vehículos de motor y material de transporte. Te ayudamos a cumplir las medidas mínimas indicadas en el artículo 21 y la notificación de incidentes según el artículo 23.
Índice de contenidos
- Cumplimiento de las medidas técnicas, operativas y de organización
- Notificación de incidentes significativos
Cumplimiento de las medidas técnicas, operativas y de organización
Según el art. 21.1 “Los Estados miembros velarán por que las entidades esenciales e importantes tomen las medidas técnicas, operativas y de organización adecuadas y proporcionadas para gestionar los riesgos que se planteen para la seguridad de los sistemas de redes y de información que utilizan dichas entidades en sus operaciones o en la prestación de sus servicios y prevenir o minimizar las repercusiones de los incidentes en los destinatarios de sus servicios y en otros servicios.
Teniendo en cuenta la situación y, en su caso, las normas europeas e internacionales pertinentes, así como el coste de su aplicación, las medidas a que se refiere el párrafo primero garantizarán un nivel de seguridad de los sistemas de redes y de información adecuado en relación con los riesgos planteados. Al evaluar la proporcionalidad de dichas medidas, se tendrá debidamente en cuenta el grado de exposición de la entidad a los riesgos, el tamaño de la entidad y la probabilidad de que se produzcan incidentes y su gravedad, incluidas sus repercusiones sociales y económicas”.
Y según el art. 21.2 “Las medidas a que se hace referencia en el apartado 1 se fundamentarán en un enfoque basado en todos los peligros que tenga por objeto proteger los sistemas de redes y de información y el entorno físico de dichos sistemas frente a incidentes, e incluirán al menos los siguientes elementos: […]” Se indica a continuación los distintos recursos que puedes encontrar en INCIBE para ayudarte con el cumplimiento de cada uno de los elementos del Art.21.2.
a) Las políticas de seguridad de los sistemas de información y análisis de riesgos;
Gestión de riesgos. Una guía de aproximación para el empresario
Guías
Las decisiones de seguridad de la información son en realidad decisiones de gestión de riesgos. En esta guía se describen los conceptos y claves.
Ciberamenazas contra entornos empresariales: una guía de aproximación para el empresario
Guías
En esta guía se describen las principales ciberamenazas, cómo evitar caer en ellas y, en caso de haber sufrido un incidente, qué hacer.
Herramienta de autodiagnóstico
ADL
Para ayudar a las empresas a evaluar su estado de ciberseguridad y a avanzar hacia mayores niveles de protección, INCIBE pone a su disposición una herramienta de autodiagnóstico especialmente diseñada para este fin.
Políticas de seguridad para la pyme
Si no sabes cómo está la seguridad de tus sistemas, no puedes mejorarla.
Políticas de seguridad para la pyme
Organiza tus proyectos de ciberseguridad.
Guía nacional de notificación y gestión de ciberincidentes
Guías
Proporciona las directrices para el cumplimiento de las obligaciones de reporte de incidentes de ciberseguridad acaecidos en el seno de las Administraciones públicas, las infraestructuras críticas y operadores estratégicos de su competencia, así como el resto de entidades comprendidas en el ámbito de aplicación del Real Decreto-Ley 12/2018.
Cómo gestionar una fuga de información. Una guía de aproximación al empresario
Guías
El objetivo de esta guía es ayudar al empresario a conocer los pasos a dar en caso de haber sufrido un incidente de fuga de información y prevenirlo.
TemáTICa Gestión de incidentes
TemáTICa
La gestión de incidentes de seguridad sirve para minimizar el impacto de los incidentes de seguridad que puedan afectar a la empresa, disminuyendo los costes provocados por el mismo y favoreciendo una rápida recuperación de la actividad.
Juego de rol
Si ocurriera ahora un incidente de seguridad en tu empresa, ¿estaríais preparados para afrontarlo?
Política de respuesta a incidentes
Políticas de seguridad para la pyme
Que los incidentes pueden ocurrir es un hecho. La clave para que no cunda el pánico y evitar males mayores: ¡estar preparados!
Políticas de seguridad para la pyme
Monitoriza para comprobar que todo funciona bien y para analizar qué ha fallado. ¿Lo haces?
Plan de contingencia y continuidad de negocio
Dosier
El plan de contingencia y continuidad de negocio regula los mecanismos a poner en marcha en caso de un incidente grave de seguridad.
Copias de seguridad: una guía de aproximación para el empresario
Guías
Esta guía proporciona información detallada sobre los aspectos más relevantes de las copias de seguridad, para comprender tanto la importancia de su implantación en las empresas como las distintas soluciones aplicables dependiendo de nuestro modelo de negocio.
INICIBE-CERT: servicios a operadores
Servicios operadores
INCIBE trabaja en mecanismos para la prevención y reacción a incidentes de seguridad de la información.
Política de continuidad de negocio
Políticas de seguridad para la pyme
Vive como si el desastre fuera a ocurrir mañana y aprende como si tu negocio fuera a continuar para siempre.
Política de copias de seguridad
Políticas de seguridad para la pyme
Te van a sacar de más de un apuro pero: ¿cuándo la hiciste por última vez?, ¿dónde está?, ¿sabes recuperarla?
Dosier
A la hora de contratar un servicio, además de cuestiones como el precio, flexibilidad de pago, referencias de otros clientes, etc., debemos considerar los aspectos relativos a la ciberseguridad.
TemáTICa
Además de permitirnos almacenar y administrar datos en servidores remotos, nos ofrece ventajas como el pago por uso, el acceso desde cualquier lugar, la unificación de recursos y una implementación rápida, al evitarnos tener que construir o mantener infraestructuras.
Cloud computing: una guía de aproximación para el empresario
Guías
Esta guía da información detallada sobre los distintos tipos de servicios y contratos existentes en la nube, señalando las ventajas e inconvenientes de cada uno de ellos.
Políticas de seguridad para la pyme
Traslada a tus proveedores la seguridad que aplicas en tu oficina cuando contratas algún servicio. ¡Atento, no te descuides!
Políticas de seguridad para la pyme
La nube es una opción, pero, ¡vigila qué y cómo permites que se almacene allí!
Buenas prácticas en el área de informática
Dosier
Con el objeto de dar a conocer cómo tratar los riesgos que suponen las amenazas, se especifica un conjunto de buenas prácticas para la gestión de activos de información, la seguridad en las operaciones y la gestión de incidentes.
Seguridad en redes wifi: una guía de aproximación para el empresario
Guías
Proteger las comunicaciones es de gran importancia para preservar la integridad de la información de cualquier empresa. En esta guía aprenderás cuanto necesitas para hacer que tus redes inalámbricas sean más seguras.
Uso de dispositivos móviles corporativos
Uso de dispositivos móviles no corporativos
Políticas de seguridad para la pyme
Dispositivos IoT en el entorno empresarial
Políticas de seguridad para la pyme
Almacenamiento en equipos de trabajo
Almacenamiento en la red corporativa
Almacenamiento en dispositivos extraíbles
Políticas de seguridad para la pyme
Gestión de riesgos. Una guía de aproximación para el empresario
Guías
Las decisiones de seguridad de la información son en realidad decisiones de gestión de riesgos.
Clasificación de la información
Borrado seguro y gestión de soportes
Políticas de seguridad para la pyme
g) Las prácticas básicas de ciberhigiene y formación en ciberseguridad
Buenas prácticas en redes sociales
Políticas de seguridad para la pyme
Protección del puesto de trabajo
Políticas de seguridad para la pyme
Desarrollar cultura en seguridad
Dosier
Los auténticos protagonistas de la seguridad en las empresas son los empleados, que son los que gestionan y utilizan los dispositivos tecnológicos de nuestra organización para gestionar nuestro principal activo: la información.
Ciberamenazas contra entornos empresariales: una guía de aproximación para el empresario
Guías
En esta guía se describen las principales ciberamenazas, cómo evitar caer en ellas y, en caso de haber sufrido un incidente, qué hacer.
Itinerarios
Si en tu empresa quieres lanzar una formación básica, empieza por el itinerario interactivo que más se adapte a tu sector de actividad.
TemáTICas
Phishing, ransomware, ingeniería social, comercio electrónico, gestión de incidentes... La ciberseguridad abarca muchos conceptos que no siempre tenemos del todo claros. Para arrojar luz sobre estas cuestiones, ponemos a tu disposición esta sección
Formación
Actualiza tus conocimientos y los de tus empleados en materia de ciberseguridad con estos servicios gratuitos.
Casos reales
No te pierdas los casos reales del 017 con los que descubrirás nuevos fraudes y nuestros consejos para solventarlos y protegerte de ellos.
Uso de técnicas criptográficas
El cifrado de información es una técnica de protección que podemos aplicar en la empresa. ¡Elige cómo y cuándo!
Políticas para la pyme
En cooperación con la Comisión Europea, los Estados miembros y otros organismos de la UE, la ENISA colabora con grupos de expertos para abordar los nuevos retos y promover buenas prácticas en la aplicación de soluciones criptográficas, con especial atención a la computación postcuántica.
ENISA - Cryptography
i) La seguridad de los recursos humanos, las políticas de control de acceso y la gestión de activos
INICIBE-CERT: servicios a operadores - monitorización de activos
Servicios operadores
INCIBE trabaja en mecanismos para la prevención y reacción a incidentes de seguridad de la información.
Desarrollar cultura en seguridad
Dosier
Los auténticos protagonistas de la seguridad en las empresas son los empleados, que son los que gestionan y utilizan los dispositivos tecnológicos de nuestra organización para gestionar nuestro principal activo: la información.
TemáTICas
Puntos claves en relación a una autenticación segura: el control de acceso a las aplicaciones críticas y áreas restringidas y la gestión de claves de forma segura.
INICIBE-CERT: servicios a operadores - medición y mejora de la ciberresiliencia
Servicios operadores
INCIBE trabaja en mecanismos para la prevención y reacción a incidentes de seguridad de la información.
Medición y mejora de la ciberresiliencia - ENISA Secure SME
SecureSME
Cómo proteger a tus empleados y a la empresa de un ciberataque.
Notificación de incidentes significativos
Por otra parte, las entidades afectadas por NIS2 deberán notificar, siguiendo los plazos del art.23, cualquier incidente significativo, es decir, aquel que:
- ha causado o puede causar graves perturbaciones operativas de los servicios o pérdidas económicas para la entidad afectada;
- ha afectado o puede afectar a otras personas físicas o jurídicas al causar perjuicios materiales o inmateriales considerables.
Estos son los recursos que pueden ayudarte a cumplir con este artículo de la NIS2:
- Blog NIS2: las pymes también son importantes y esenciales I y II
- TemáTICa Gestión de incidentes
- Política Respuesta a incidentes
- Notificación de incidentes
- Respuesta a incidentes
- Guía nacional de notificación y gestión de incidentes
- Respuesta a incidentes FAQ