Requisitos clave de ciberseguridad para NIS2: Gestión de certificados y PKI

La ciberseguridad es ahora una prioridad absoluta para todos los individuos y organizaciones. Y a medida que aumenta la digitalización, también lo hace la amenaza de ciberataques, lo que hace que el cumplimiento de las normas de seguridad sea más crucial que nunca.

En este contexto, las organizaciones deben empezar a a prepararse para NIS2un marco actualizado de la Unión Europea diseñado para mejorar aún más la seguridad y resistencia de las infraestructuras críticas.

Para ayudar a los equipos de seguridad con cumplimiento de NIS2Keyfactor impartió recientemente un seminario web centrado en el refuerzo de la ciberseguridad mediante una sólida gestión de certificados y una infraestructura de clave pública (PKI). En concreto, analizamos la definición ampliada de infraestructura crítica según la Directiva NIS2 y los requisitos clave de ciberseguridad para el cumplimiento, cómo la PKI y los certificados digitales son fundamentales para establecer la confianza y las comunicaciones seguras, y el papel de la gestión de certificados y la seguridad de la PKI para permitir el cumplimiento y reforzar la defensa frente a las ciberamenazas.

Siga leyendo para un resumen de nuestro debate, o haga clic aquí para ver el seminario web completo.

Estamos experimentando más incidentes cibernéticos que nuncay los tipos de amenazas siguen evolucionando. Este panorama exige que organizaciones de todo tipo estén preparadas para gestionar los riesgos de forma eficiente y compartir información sobre posibles incidentes para garantizar una respuesta adecuada.

La directiva NIS2 aborda este panorama en evolución y, con la fecha límite de septiembre de 2024 para su aplicación por parte de los Estados miembros de la UE acercándose rápidamente, las organizaciones deben empezar a planificar y presupuestar para adaptar sus prácticas de seguridad en consecuencia. He aquí un resumen de lo que necesita saber para empezar:

En los casi siete años transcurridos desde la entrada en vigor de la norma NIS1, sucesos mundiales como el COVID, las interrupciones de la cadena de suministro y los cambios geopolíticos han puesto de manifiesto vulnerabilidades en la seguridad que han provocado un número creciente de incidentes. Además, hubo una gran divergencia en la forma en que los Estados miembros de la UE aplicaron la NIS1, lo que causó confusión, especialmente debido a la falta de claridad sobre los umbrales necesarios para su cumplimiento.

La NIS2 pretende poner remedio a estos problemas. En concreto, la NIS2 ya ha contado con más colaboración entre los Estados miembros, incluye más sectores para ampliar la cobertura a aproximadamente 20 veces más organizaciones que la NIS1, y adopta un enfoque de palo y zanahoria para la aplicación similar al GDPR mediante la introducción de medidas más punitivas para el incumplimiento.

NIS2 afecta a todas las entidades que prestan servicios esenciales o importantes para la economía y la sociedad europeas, incluidas empresas y proveedores. Los sectores cubiertos por NIS2 incluyen "Entidades Importantes" y "Entidades Esenciales". Las entidades esenciales son aquellas como las organizaciones sanitarias, energéticas y de transporte para las que una interrupción de los servicios podría tener graves consecuencias en la sociedad o la economía. Entre las entidades importantes figuran organizaciones de fabricación, servicios postales, gestión de residuos y proveedores digitales como motores de búsqueda, redes sociales y mercados en línea.

Aunque la NIS2 abarca ambos tipos de sectores, los requisitos de cumplimiento difieren para cada uno de ellos. Por ejemplo, las Entidades Esenciales deben realizar auditorías con mayor regularidad que las Entidades Importantes. Pero incluso las empresas más pequeñas no están necesariamente excluidas, ya que los Estados miembros pueden actualizar ciertos requisitos de su competencia, como exigir más auditorías a cualquier proveedor que preste servicios gubernamentales.

NIS2 reconoce el valor de las herramientas y normas de ciberseguridad de open-source , especialmente cuando se trata de minimizar costes para las pequeñas y medianas empresas. Dicho esto, la directiva exige que las organizaciones que utilicen estas soluciones de open-source las apliquen de forma sostenible. 

Por ejemplo, el considerando 52 establece: "Open-source herramientas y aplicaciones de ciberseguridad pueden contribuir a un mayor grado de apertura y repercutir positivamente en la eficiencia de la innovación industrial. Las normas abiertas facilitan la interoperabilidad entre las herramientas de seguridad, beneficiando la seguridad de las partes interesadas industriales."

NIS2 es una de las muchas directivas, normas y reglamentos que se utilizan en todo el mundo y, a menudo, en combinación con otros. Las normas exactas que se aplican a cada empresa dependen de la verticalidad y la geografía, entre otros factores, pero es importante conocer cada uno de estos requisitos globales. En general, estamos entrando en una época en la que las empresas deben tener una mayor conciencia y una mejor aplicación de las políticas de ciberseguridad y gestión de riesgos.

Es importante empezar a planificar y presupuestar ahora la NIS2, ya que el cumplimiento de la nueva directiva podría requerir un aumento del presupuesto de hasta un 10-20% en función del sector, la geografía y el cumplimiento de otras normas, incluida la NIS1.

¿Qué implica exactamente el cumplimiento de la normativa? Al más alto nivel, las empresas deben "adoptar medidas técnicas y operativas adecuadas y proporcionales". Esto habla del hecho de que un incidente que afecte a ciertas organizaciones podría tener un efecto de avalancha, creando grandes trastornos a otras empresas o a la sociedad en general. En consecuencia, las organizaciones -especialmente las consideradas entidades esenciales- deben preparar sus medidas de seguridad teniendo en cuenta estos impactos descendentes. 

Para empezar, las organizaciones deben dar dos pasos fundamentales:

• Autoevaluación: Una autoevaluación es importante para cualquier tipo de cumplimiento en materia de seguridad. Esta evaluación debe revisar los riesgos potenciales y las medidas de respuesta, de forma que los miembros del equipo puedan tomar medidas para mitigar los riesgos de forma proactiva y garantizar que se aplican los protocolos de respuesta adecuados. Tomar estas medidas ayuda a preparar mejor a los equipos, reducir el riesgo y garantizar la continuidad de la actividad cuando se produce un incidente.
• Informes: El requisito de presentación de informes de NIS2 es mucho más estricto que el de NIS1, ya que exige que las organizaciones dispongan en todo momento de un estado de cumplimiento actualizado. Esto requiere un profundo conocimiento de las prácticas de notificación de incidentes y continuidad de negocio, así como una gran visibilidad en toda la organización, lo que significa que una simple hoja de cálculo no será suficiente. Además, es importante tener en cuenta que la alta dirección y el consejo de administración son los responsables directos de estos informes, lo que hace que la formación sobre los protocolos sea igualmente crítica.

En general, la preparación para el cumplimiento de NIS2 representa una excelente oportunidad para actualizar cualquier tecnología heredada, ya que las infraestructuras frágiles probablemente no proporcionarán el nivel necesario de continuidad empresarial. En muchos casos, las organizaciones pueden considerar que la externalización de determinados servicios de asistencia les proporcionará más experiencia y supervisión de las que pueden ofrecer internamente.

La PKI y la gestión de certificados adquieren especial importancia para las organizaciones cuando se trata del cumplimiento de NIS2. Esto se debe a que la nueva directiva exige que las organizaciones introduzcan principios de confianza cero (por ejemplo, mediante la autenticación multifactor), actualizaciones periódicas de software , segmentación de redes, gestión de identidades y accesos, firma de código, etc., todo ello basado en PKI y con la necesidad de una gestión de certificados adecuada certificados.

Es importante que las organizaciones inviertan en la infraestructura adecuada de forma proactiva, en lugar de esperar a que surja un problema. Esta infraestructura debe ser resistente y escalable para proporcionar el nivel necesario de continuidad empresarial. También debe proporcionar un alto nivel de visibilidad y agilidad para comprender el panorama completo de identidades y emitir nuevos certificados según sea necesario.

Las organizaciones deben empezar por tres áreas de interés clave:

• Haga un inventario: Haz un inventario de todos los servicios e identidades para asegurarte de que todo está identificado y de que todos cumplen la normativa. Tome medidas para aumentar la visibilidad y el cumplimiento según sea necesario.
  

• Revise los servicios: Asegúrate de que los servicios no se sobrecargan. A menudo, las organizaciones utilizan la misma infraestructura para dos fines distintos (por ejemplo, necesidades externas e internas), pero esto no se sostiene bien a largo plazo y crea más oportunidades de riesgo.
  

• Introducir la automatización del ciclo de vida de los certificados: Correctamente automatización del ciclo de vida de los certificados puede ayudar a evitar interrupciones y, por tanto, a garantizar la continuidad del negocio. La automatización del ciclo de vida de los certificados permite a los equipos mantener la visibilidad de los certificados una vez emitidos y sustituirlos fácilmente cuando sea necesario, ya sea porque caducan o porque ya no son de confianza.

La aplicación de NIS2 está a la vuelta de la esquina y ahora es el momento de tomar medidas. La nueva directiva mejora y amplía la NIS1, por lo que incluso las organizaciones que ya cumplen la original tendrán que realizar actualizaciones.

Cumplir la norma NIS2 no es algo que las organizaciones deban tomarse a la ligera, y encontrar los socios adecuados que ayuden en el camino puede marcar la diferencia a la hora de reducir riesgos y evitar sanciones.

Para saber más sobre el tema, vea nuestro seminario web completo con expertos en ciberseguridad de Keyfactoraquí.