Inicio  >  Podcast  >  NIS2

En este podcast contamos con la intervención de Esteban Suquillo, Técnico de la Unidad de Negocio Certificaciones TIC en EQA.

Transcripción

00:19 Bienvenida
00:49 ¿Qué es la directiva NIS 2 y por qué es tan relevante para la ciberseguridad en Europa?
01:32 ¿Cuál es la relación entre NIS 2 y el Esquema Nacional de Seguridad (ENS)?
02:36 ¿Qué tipo de entidades estarán obligadas a cumplir con NIS 2 en España?
03:31 ¿Cómo se coordina el cumplimiento entre NIS 2 y el ENS? ¿Será obligatorio cumplir con ambos?
04:20 ¿Se puede considerar al Esquema Nacional de Seguridad como la “guía práctica” para implementar la NIS 2 en España?
04:55 ¿Podría el ENS convertirse en el mecanismo principal de verificación del cumplimiento de NIS 2 en España?
05:30 ¿Qué recomendaciones darías a una organización que aún no ha empezado su proceso de adaptación?
06:15 Despedida

Buenos días y bienvenidos a un nuevo episodio de “Certifica”, el podcast de EQA. Hoy vamos a hablar sobre la Directiva NIS 2 de la unión europea en materia de Ciberseguridad. Para ello hoy contamos con Esteban Suquillo, técnico de la Unidad de Negocio Certificaciones TIC en EQA España.

Buenos días Esteban, ¿qué tal estás?
Buenos días, Marta. Pues un gusto estar en este podcast y poder aportar un poco del conocimiento que hemos estado trabajando en EQA.

• Pues vamos a comenzar explicando: ¿Qué es la directiva NIS 2 y por qué es tan relevante para la ciberseguridad en Europa?
La Directiva NIS 2 proviene de la Unión Europea. Es una norma que se ha creado para la ciberseguridad, en este caso, para poder mitigar todos esos ataques que han aumentado últimamente, especialmente con la guerra de Ucrania.
Entonces, la Unión Europea necesitaba una normativa para que todos los Estados miembros pudieran tener una meta común y un punto de referencia. A cada país se le ha encargado aplicarla a su entorno. Eso, a grandes rasgos, es lo que la NIS 2 busca.

• Esteban, sería importante contar ¿Cuál es la relación entre NIS 2 y el Esquema Nacional de Seguridad (ENS)?
Como comenté, la Unión Europea ha encargado a cada país que lo aplique en su entorno. En España, específicamente, el organismo encargado es ENAC, que también es responsable del Esquema Nacional de Seguridad (ENS).
El ENS es un real decreto también enfocado a la ciberseguridad. Es una normativa ya consolidada, con requisitos orientados a la protección. Lo que hizo ENAC fue compararla con NIS 2 y evaluar si una entidad ya certificada en ENS podía obtener también la conformidad con NIS 2.
Se vio que los requisitos eran bastante similares, así que, si se tiene ENS, simplemente con un estudio se puede validar la conformidad con ambas.

• Y, ¿Qué tipo de entidades estarán obligadas a cumplir con NIS 2 en España?
No solo en España, sino en toda la Unión, se establecen sectores críticos e importantes.
Los sectores críticos pueden ser las líneas eléctricas, salud, telecomunicaciones, satélites… Y entre los sectores importantes, el sistema de transporte público, el agua potable, entre otros.

Estos sectores, tanto críticos como importantes, deben estar protegidos para garantizar el bienestar de la sociedad. Un claro ejemplo fue el apagón del lunes 28 de abril, que provocó un caos.

Con estas normativas se puede tener un plan de actuación para saber cómo responder.

• Esteban, ¿Cómo se coordina el cumplimiento entre NIS 2 y el ENS? ¿Será obligatorio cumplir con ambos?
Hay dos cuestiones aquí. NIS 2, por sí solo, es obligatorio. El Esquema Nacional de Seguridad es más opcional, depende de si el cliente lo desea o si quiere trabajar con entidades públicas.

Como decía, NIS 2 es obligatorio. El ENS sería recomendable, porque si ya se cumplen todos los requisitos del ENS en su categoría alta, se está bastante cerca de cumplir con NIS 2.

Como comentaba, con un estudio de media jornada, se podría obtener esa conformidad con NIS 2.

• ¿Se puede considerar al Esquema Nacional de Seguridad como la “guía práctica” para implementar la NIS 2 en España?
Por la experiencia que hemos tenido con ENS y NIS 2 en EQA, podríamos decir que sí. Una vez se cumplen todos los requisitos del ENS en su categoría alta, y con una evaluación mínima —aunque hay otros requisitos menos rígidos que también deben cumplirse—, sí que se puede considerar una muy buena guía sobre la que basarse para optar por NIS 2.

• En relación con lo anterior, ¿Podría el ENS convertirse en el mecanismo principal de verificación del cumplimiento de NIS 2 en España?
De momento, y hasta que se realice la transposición, es la única vía. Es decir, si se tiene el ENS en su categoría alta y se realiza un estudio de media jornada, se puede obtener la conformidad.

En el caso de categorías medias, habría más aspectos a considerar, pero sí, el ENS puede considerarse como una vía válida para cumplir con NIS 2.

• Pues para terminar hoy, ¿Qué recomendaciones darías a una organización que aún no ha empezado su proceso de adaptación?
Recomendaría que, desde el diseño, desde el principio, se tenga en cuenta la seguridad.
Habría que considerar no solo el ENS, sino también la ISO 27001, que es por donde empiezan muchas organizaciones. Empezar con la versión 2022 de la 27001, luego avanzar hacia el ENS y finalmente llegar a NIS 2.
Es decir, planificar desde el inicio teniendo como objetivo cumplir con estos esquemas normativos para alcanzar una mejor seguridad y adaptarse correctamente.