NIS2

En progreso

Directiva NIS2 (UE) 2022/2555

Directiva europea de ciberseguridad para entidades esenciales e importantes. Exige medidas técnicas y organizativas de gestión de riesgos, responsabilidad de la dirección y notificación de incidentes significativos.

Unión EuropeaUEv2022

47%7/15 cubiertos

Descargar SoA (CSV)

Gobernanza (Art. 20)

2 requisitos

Art.20.1
Aprobación y supervisión por la dirección
Los órganos de dirección aprueban las medidas de gestión de riesgos y supervisan su implementación; pueden ser responsables de los incumplimientos.
GOV-02Roles y responsabilidades de seguridad
Cubierto
Art.20.2
Formación de los órganos de dirección
Los miembros de la dirección reciben formación para identificar riesgos y evaluar prácticas de gestión de riesgos de ciberseguridad.
Sin cubrir

Medidas de gestión de riesgos (Art. 21)

10 requisitos

Art.21.2.a
Políticas de análisis de riesgos y seguridad de los sistemas
Políticas de análisis de riesgos y de seguridad de los sistemas de información.
GOV-01Política de seguridad de la información RSK-01Gestión de riesgos de seguridad
Cubierto
Art.21.2.b
Gestión de incidentes
Prevención, detección y respuesta a incidentes.

Notificación de incidentes (Art. 23)

3 requisitos

Art.23.4.a
Alerta temprana (24 h)
Alerta temprana al CSIRT/autoridad competente en un plazo de 24 horas desde que se tiene conocimiento del incidente significativo.
IR-01Gestión de incidentes de seguridad
Parcial
Art.23.4.b
Notificación de incidente (72 h)
Notificación del incidente en un plazo de 72 horas, con evaluación inicial de gravedad e impacto.
IR-01Gestión de incidentes de seguridad
Parcial

Gestión de incidentes de seguridad

Art.21.2.c

Continuidad de negocio y gestión de crisis

Continuidad de negocio: gestión de copias de seguridad, recuperación ante desastres y gestión de crisis.

BC-01Copias de seguridad y continuidad de negocio

Parcial

Art.21.2.d

Seguridad de la cadena de suministro

Seguridad en las relaciones con proveedores y prestadores de servicios directos.

TPR-01Seguridad de proveedores y cadena de suministro

Parcial

Art.21.2.e

Seguridad en adquisición, desarrollo y mantenimiento

Seguridad en la adquisición, desarrollo y mantenimiento de sistemas, incluida la gestión y divulgación de vulnerabilidades.

OPS-02Gestión de vulnerabilidades y parches OPS-05Gestión de cambios DEV-01Desarrollo seguro (SDLC)

Cubierto

Art.21.2.f

Evaluación de la eficacia de las medidas

Políticas y procedimientos para evaluar la eficacia de las medidas de gestión de riesgos.

Sin cubrir

Art.21.2.g

Higiene cibernética y formación

Prácticas básicas de higiene cibernética y formación en ciberseguridad.

OPS-01Protección frente a código malicioso HR-01Formación y concienciación en seguridad

Cubierto

Art.21.2.h

Criptografía y cifrado

Políticas y procedimientos sobre el uso de criptografía y, cuando proceda, cifrado.

CRY-01Cifrado y criptografía

Cubierto

Art.21.2.i

Seguridad de RR. HH., control de acceso y gestión de activos

Seguridad de los recursos humanos, políticas de control de acceso y gestión de activos.

AC-01Control de acceso y gestión de identidades OPS-04Gestión de activos HR-02Seguridad en el ciclo de vida del personal

Cubierto

Art.21.2.j

Autenticación multifactor y comunicaciones seguras

Uso de MFA o autenticación continua, comunicaciones seguras de voz, vídeo y texto, y comunicaciones de emergencia seguras.

AC-02Autenticación multifactor (MFA)

Cubierto

Art.23.4.d

Informe final (1 mes)

Informe final en el plazo de un mes con descripción detallada, causa raíz y medidas de mitigación aplicadas.

Sin cubrir