Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
▼
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
▼
mayo
(Total:
105
)
- Google deja sin soporte el popular ChromeCast de p...
- Abogados usaron ChatGPT para demandar a una aerolí...
- Ya disponible para descargar: Kali Linux 2023.2
- Le robaron 200€ y acabó denunciado por compartir e...
- Las discográficas culpan a la Wikipedia de sus pér...
- Discos Duros WD para NAS Synology "caducan" a los ...
- Colapsan "The Internet Archive" por culpa del entr...
- Cómo usar Generative Fill, la inteligencia artific...
- Un abogado se enfrenta a sanciones por usar ChatGP...
- Elon Musk ya tiene autorización para probar implan...
- Un simple enlace de WhatsApp cuelga la aplicación ...
- El algoritmo de la activación de Windows XP ha sid...
- Predator, otro spyware mercenario
- Una app de Android grabó audio de sus usuarios en ...
- El malware QBot utiliza del EXE de WordPad en Wind...
- Cómo funciona el procesador de un PC
- El ataque "Hot Pixel" podría robar datos de chips ...
- Microsoft desvela un ataque informático chino a in...
- Microsoft presenta Windows 11 ‘Momentos 3’
- ¿Qué es NIS2 y cómo afecta a la Ciberseguridad en ...
- Videollamadas con la cara y la voz clonada de tu m...
- Podman Desktop 1.0, primera versión mayor de la he...
- Una explosión en el Pentágono creada por inteligen...
- Amouranth ya tiene un chatbot erótico y de pago ge...
- Windows 11 integra nuevo asistente de inteligencia...
- La Audiencia Nacional de España deja en libertad ...
- BugCheck2Linux: Ejecuta Linux después de una panta...
- España pretende prohibir el cifrado de extremo a e...
- Así revelan las apps de Android nuestros secretos ...
- WhatsApp ya permite editar mensajes enviados duran...
- Millones de televisores Android TV y teléfonos bar...
- China prohíbe la compra de los microchips de la es...
- Intel propone eliminar definitivamente los 32 y 16...
- Teléfonos Android son vulnerables a los ataques de...
- CVE-2023-27363: Prueba de concepto para ejecución ...
- Secure Boot, la característica de seguridad de UEFI
- PMFault, una vulnerabilidad que permite dañar físi...
- Meta recibe la mayor multa de la historia de la Un...
- Zero trust: la desconfianza por defecto como clave...
- Apple emite parches de emergencia para Safari (vul...
- Vulnerabilidad en Keepass permite obtener la contr...
- Twitter acusa a Microsoft de usar sus datos de man...
- Microsoft tardará casi un año en terminar de parch...
- El CEO de ChatGPT dice en el Senado de EE.UU que «...
- Los peligros de los nuevos dominios .zip registrad...
- WARP, la VPN gratuita de CloudFlare
- Actualización de seguridad 6.2.1 para WordPress
- Mojo, el nuevo lenguaje de programación creado por...
- En 15 minutos un iPhone podrá hablar con tu voz
- La IA la vuelve a liar: las imágenes de la Ministr...
- Microsoft está escaneando archivos ZIP protegidos ...
- Google eliminará las cuentas que lleven dos años i...
- EE.UU. ofrece una recompensa de 10 millones por la...
- WhatsApp introduce el bloqueo de Chats con contras...
- Euskaltel víctima de un hackeo con robo de 3TB dat...
- LTESniffer, una herramienta open source para inter...
- Alternativas RaspBerry Pi: Orange Pi 5 Plus y Bana...
- Youtuber confiesa que estrelló su avioneta para co...
- Directivo empresa unidades flash pronostica el fin...
- Elon Musk elige a Linda Yaccarino, exdirectora de ...
- Alternativas gratuitas a Photoshop
- El código fuente filtrado de Babuk permite crear n...
- Toyota expone los datos de localización de 2 millo...
- Maltego, la herramienta para recopilar información...
- Cuidado con falsa pantalla de actualizaciones de W...
- El Ayuntamiento de Madrid alertó de multas falsas ...
- uBlock Origin, el complemento más popular del nave...
- YouTube no permite ver vídeos a los usuarios que u...
- Cómo solucionar problemas y recuperar con el Inici...
- Google realiza en su buscador el mayor cambio de t...
- WhatsApp activa el micrófono sin tu permiso por cu...
- Detenidos en España miembros de los Trinitarios ac...
- PlugWalkJoe: el ermitaño que hackeó Twitter se enf...
- Así se las ingenia este usuario para conseguir pen...
- Multan con 200 mil € al Mobile World Congress de B...
- Golpe histórico del FBI a ciberdelincuentes rusos:...
- El FBI incauta 13 dominios utilizados para vender ...
- La Policía española investiga si Alcasec y su soci...
- Disponible distro Parrot OS 5.3 con Linux 6.1 y MA...
- La polícia de San Bernardino (California) paga el ...
- Amazon se llena de reseñas falsas generadas con Ch...
- Rusia usó WinRAR para borrar ficheros a Ucrania en...
- El padre de Elon Musk confirma la existencia de su...
- Detenido por pedir un préstamo suplantando la iden...
- Discord te obligará a cambiar tu nombre de usuario
- QR, bluetooth y criptografía: esta es la idea de G...
- Ataques de DLL sideloading o Hijacking
- Google anuncia el Pixel Fold, su primer móvil pleg...
- Día mundial de las contraseñas
- Resultados financieros de Apple: récord ingresos i...
- Apple estrena los parches de respuesta de segurida...
- Gmail activa los emails verificados con una insign...
- Google dice que solo el 11% entienden el significa...
- FaulTPM es una vulnerabilidad que afecta a los pro...
- La Generalitat Cataluña quiere grabar hasta lo que...
- Apple y Google trabajan para evitar la localizació...
- Herramientas para detectar typosquatting
- Las cuentas de Google admiten claves de acceso y y...
- ProtonPass, el nuevo gestor de contraseñas con cif...
- El 'padrino' de la IA deja Google y avisa de los p...
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
En la Operación Torpedo el FBI utilizó Metasploit Framework , un software totalmente libre construido originalmente sobre lenguaje Perl y p...
-
Recientemente, 2K Games ha sufrido un ataque dentro de su plataforma de soporte técnico. Dicha plataforma, fue hackeada y utilizada para...
¿Qué es NIS2 y cómo afecta a la Ciberseguridad en la Organización?
El 17 de enero de 2023 entró en vigor la nueva legislación de la UE para mejorar la ciberseguridad. La Directiva de Seguridad de las Redes y los Sistemas de Información (NIS2) [PDF] pretende establecer un nivel mínimo de normas de ciberseguridad en toda Europa, y sustituye a la Directiva de Redes y Sistemas de Información (Directiva 2016/1148) establecida en 2016. La Directiva NIS2 es la legislación a escala de la UE sobre ciberseguridad. Proporciona medidas legales para aumentar el nivel general de ciberseguridad en la UE.
La legislación NIS original se formó en respuesta a las preocupaciones sobre la ciberseguridad y un panorama de amenazas cambiante, y los acontecimientos de los últimos años (la pandemia de COVID-19, la invasión de Rusia en Ucrania, un aumento continuo de los ataques de ransomware) han llevado a la UE a ampliar y fortalecer la Directiva original, dando lugar a NIS2.
El impacto de esta nueva Directiva podría ser tan significativo como el GDPR, por lo que debe estar al tanto de los próximos requisitos.
¿A quién afectará NIS2?
La Directiva NIS-2 será de obligado cumplimiento para empresas de más de 250 empleados y con un volumen de facturación anual de 50 millones de euros en adelante. Al mismo tiempo, también estarán obligados a su cumplimiento los operadores que presten servicios esenciales y los proveedores de servicios digitales que operan en la Unión Europea. Estos servicios incluyen, entre otros, servicios energéticos, transporte, salud, banca y finanzas, y servicios de telecomunicaciones.
NIS2 se aplica tanto a las organizaciones con sede en la UE como a las organizaciones con sede en otros lugares que prestan sus servicios dentro de la región. Los Estados miembros de la UE deben mantener una lista actualizada de todas las entidades esenciales e importantes que operan dentro de su jurisdicción.
Las entidades esenciales incluyen:
- Proveedores de energía
- Empresas de transporte
- Infraestructuras bancarias y de mercados financieros
- Fabricantes de productos sanitarios y farmacéuticos
- Infraestructuras de agua potable y aguas residuales
- Administración pública
- Servicios TIC
- Infraestructura digital, incluidos proveedores de servicios en la nube, centros de datos, sistemas de nombres de dominio (DNS) y redes públicas de comunicación.
Entre las entidades importantes figuran:
- Servicios postales y de mensajería
- Gestión de residuos
- Fabricación de productos químicos
- Servicios de producción y transformación de alimentos
- Producción de electrónica, maquinaria y vehículos de motor
- Mercados en línea, motores de búsqueda y redes sociales
- Instituciones de enseñanza superior e investigación.
¿Qué puede pasar con las empresas que no cumplan con la directiva?
Si las empresas no cumplen con los requisitos de NIS2, pueden tomarse una variedad de medidas de cumplimiento, que incluyen instrucciones vinculantes, una recomendación de una auditoría de seguridad y multas administrativas de hasta 10 millones de euros o el 2 % de la facturación anual mundial total de la empresa en el ejercicio anterior.
¿Cuáles son los nuevos requisitos de NIS2?
La Directiva NIS2 tiene un ámbito de aplicación más amplio que la NIS, se aplica a un mayor número de sectores e industrias y es más explícita a la hora de esbozar las medidas de ciberseguridad que exigirá a las organizaciones. La NIS2 también pretende aumentar la colaboración en materia de ciberseguridad entre los Estados miembros de la UE.
En la nueva legislación, las entidades esenciales tienen una serie de requisitos más rigurosos que las entidades importantes.
Las entidades esenciales pueden ser investigadas en cualquier momento mediante auditorías e inspecciones, mientras que las entidades importantes sólo serán investigadas después de un incidente.
Estos son los puntos clave de la NIS2:
- Política de seguridad de la información. Las organizaciones deben evaluar el impacto potencial de un ciberataque y ser proactivas en la gestión del riesgo, aplicando políticas de seguridad de la información sólidas.
- Prevención, detección y respuesta ante incidentes. Se exigirá a las empresas que dispongan de estrategias de prevención y respuesta a incidentes, que pongan a prueba estos planes y que formen al personal.
- Continuidad del negocio. Como parte de sus estrategias de respuesta a incidentes, las empresas deben asegurarse de que pueden seguir operando en caso de ciberataque. NIS2 se centra en soluciones de copia de seguridad en la nube para ayudar a las empresas a recuperar los datos perdidos y restablecer las operaciones con una interrupción mínima.
- Notificación de incidentes. La NIS2 estipula que ambas categorías de organizaciones están obligadas a notificar a las autoridades pertinentes en caso de que se produzca un ciberincidente significativo, y establece un calendario estricto para la notificación, que explicamos en la siguiente sección.
- Seguridad de la cadena de suministro. NIS2 exige a las empresas que evalúen las vulnerabilidades de sus cadenas de suministro, incluidos servicios como los proveedores de almacenamiento de datos. En pocas palabras, NIS2 exige a las empresas que tengan en cuenta no sólo su propia ciberseguridad, sino también la de los terceros con los que tratan.
- Revelación de vulnerabilidades. Si una organización encuentra una vulnerabilidad en su red, debe revelarla a la autoridad competente. Las organizaciones también deben proporcionar canales para que el público informe sobre vulnerabilidades, y están obligadas a actuar en consecuencia.
- Obligaciones de los equipos directivos. Los altos cargos y los equipos directivos pueden ser considerados personalmente responsables del incumplimiento de las NIS2 por parte de su organización.
- Multas por incumplimiento. Para las entidades esenciales, la multa por incumplimiento puede ser de hasta 10 millones de euros, o el 2% de la facturación anual mundial de la empresa. Para las entidades importantes, la multa es de hasta 7 millones de euros, o el 1,4% del volumen de negocios anual mundial.
- Colaboración. NIS2 fomenta el intercambio de datos entre autoridades y exige que éstas colaboren en la respuesta a incidentes. El objetivo es dar una respuesta a las amenazas a escala de la UE, en lugar de limitarse a respuestas nacionales o localizadas. Este énfasis en la colaboración incluye la creación de la "Red de Organizaciones de Enlace para Crisis Cibernéticas" (EU-CyCLONe), organismo centralizado para la gestión de incidentes.
- Ampliación del concepto de "entidades esenciales": así, la actualización introduce nuevos sectores hasta la fecha no considerados como críticos.
- La incorporación de los "sectores importantes", un nuevo concepto que aglutina la gestión de residuos, el sector aeroespacial, los proveedores y fabricantes de servicios digitales, el sector alimentario (considerando desde su producción, transformación y distribución), servicios postales y aquellos dedicados a la generación y distribución de sustancias y productos químicos.
- Introducción de nuevos requisitos de seguridad en las organizaciones, inculcando la necesaria concienciación sobre la privacidad desde el diseño y por defecto, obligación de cifrado, requisitos en cuanto a la respuesta a incidentes, la certificación de servicios, sistemas y/o productos bajo el paraguas de esquemas europeos de certificación, acordes a la normativa europea.
- Armonización normativa entre los Estados Miembros: así, la Agencia de la Unión Europea para la Ciberseguridad (ENISA) se erige como responsable de la difusión de nuevas normas para la prevención, detección y respuesta a ciberataques entre los países miembros y sus autoridades competentes en la materia.
- Integración plena con normativa sectorial, como puede ser la Directiva para la Resiliencia Operativa Digital para el sector financiero (DORA) y la Directiva de Resiliencia de Entidades Críticas (CER).
- Refuerzo de las exigencias de seguridad en proveedores y la cadena de suministro: para ello, la Directiva NIS 2.0 permite a las organizaciones exigir a sus proveedores el cumplimiento de la normativa, en el supuesto de ser consideradas como operadores críticos.
- Responsabilidad de la dirección de la empresa: gracias a esta actualización, la responsabilidad del cumplimiento de las medidas de ciberseguridad recae en los propios órganos directivos de la empresa.
- Promoción de la colaboración público-privada: así, la nueva Directiva propone crear las Public-Private-Partnerships ("PPPs", por sus siglas en inglés) especializadas en ciberseguridad, de cara a desarrollar estrategias nacionales de ciberseguridad en cada uno de los Estados Miembros.
Fuentes: Israel Nadal aka @perito_inf | ESET
Vía:
https://blog.segu-info.com.ar/2023/05/que-es-nis2-y-como-afecta-la.html
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.