Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORAR KITEWORKS

Las Regulaciones de Sistemas de Redes e Información de 2018 (Regulaciones NIS)

Inicio Glosario Las Regulaciones de Sistemas de Información y Redes 2018 (Regulaciones NIS)

Las Regulaciones de Sistemas de Información y Redes (NIS) de 2018 son una legislación del Reino Unido que entró en vigor el 10 de mayo de 2018. Las Regulaciones tienen como objetivo establecer un alto nivel común de seguridad en los sistemas de información y redes en todo el Reino Unido. Las reglas NIS introducen un nuevo enfoque en la forma en que las organizaciones gestionan el riesgo cibernético, centrándose en sistemas críticos para la provisión de servicios esenciales y servicios digitales.

Las Regulaciones NIS son implementadas y aplicadas por autoridades competentes, que son organismos regulatorios específicos asociados con cada sector. Estas autoridades tienen la tarea de evaluar las medidas de seguridad de sus respectivos sectores y promover mejoras cuando sea necesario.

Las Regulaciones de Sistemas de Información y Redes 2018 (Regulaciones NIS)

¿Qué son las Regulaciones NIS 2018?

Las Regulaciones NIS 2018 derivan de la Directiva de la Unión Europea sobre la seguridad de los sistemas de información y redes, comúnmente conocida como la Directiva NIS. El Reino Unido, miembro de la UE en ese momento, estaba obligado a integrar la Directiva en su legislación nacional y las Regulaciones NIS 2018 se promulgaron posteriormente. La Directiva NIS 2 se promulgó en 2020.

Aunque el Reino Unido ha dejado la UE, las Regulaciones NIS continúan aplicándose, reflejando el compromiso continuo con un alto nivel de ciberseguridad dentro del Reino Unido.

La Estructura de las Regulaciones NIS

Las Regulaciones NIS constan de 35 regulaciones subdivididas en seis partes:

  • General
  • Operadores de Servicios Esenciales
  • Proveedores de Servicios Digitales
  • Autoridades Competentes y Punto Único de Contacto
  • Sanciones
  • Disposiciones Finales

Cada parte cubre un área específica de las Regulaciones NIS, proporcionando detalles sobre los requisitos, roles y responsabilidades, aplicación y sanciones por incumplimiento.

Las Regulaciones NIS también incluyen múltiples anexos que elaboran aspectos como los criterios para identificar Operadores de Servicios Esenciales, avisos de aplicación, procedimientos de apelación y más.

Regulaciones NIS 2018 vs. la Directiva NIS de la Unión Europea: Similitudes y Diferencias

Las Regulaciones NIS y la Directiva NIS de la UE comparten los mismos objetivos y principios, centrados en mejorar la ciberseguridad en servicios esenciales y proveedores de servicios digitales. Sin embargo, existen diferencias en términos de su aplicación y ejecución, principalmente debido a las consideraciones nacionales específicas del Reino Unido y su perfil de riesgo.

Además, mientras que la Directiva NIS requiere que los estados miembros designen una única autoridad competente para monitorear la aplicación de la Directiva, el Reino Unido, bajo sus Regulaciones NIS, tiene múltiples autoridades competentes, cada una responsable de un sector específico.

El Propósito de las Regulaciones NIS

El objetivo principal de las Regulaciones NIS es lograr un alto nivel de seguridad de los sistemas de información y redes dentro del Reino Unido. Esto es crítico ya que la dependencia de los sistemas de información y servicios digitales ha aumentado significativamente, convirtiéndolos en objetivos principales para amenazas cibernéticas. La implementación de medidas de seguridad estrictas puede, por lo tanto, reducir significativamente los riesgos asociados con estas amenazas.

Las Regulaciones NIS también tienen como objetivo establecer un marco para promover la cooperación y el intercambio de información entre los estados miembros en caso de un incidente cibernético. Esta colaboración transfronteriza es esencial para asegurar una respuesta robusta y efectiva a amenazas y ataques cibernéticos significativos.

¿Cuál es el Alcance de las Regulaciones NIS?

Las Regulaciones NIS se aplican a dos tipos principales de entidades:

  • Operadores de Servicios Esenciales (OES)
  • Proveedores de Servicios Digitales (DSPs)

Las Regulaciones reconocen que los detalles de lo que constituye un OES o DSP pueden variar entre sectores. Por lo tanto, la autoridad competente identifica las entidades dentro de su sector que cumplen con los criterios establecidos en las regulaciones.

Los Operadores de Servicios Esenciales (OES) son organizaciones que proporcionan servicios esenciales para el mantenimiento de actividades críticas sociales o económicas. Estos servicios deben cumplir con los criterios de provisión que dependen de sistemas de información y redes, un impacto que resulta en efectos disruptivos significativos en su provisión, y un caso donde la entidad está establecida en el Reino Unido. Ejemplos de OES incluyen entidades en sectores como energía, transporte, salud, suministro y distribución de agua potable, e infraestructura digital.

Los Proveedores de Servicios Digitales (DSPs) son entidades que proporcionan servicios digitales de un tipo específico, a saber, mercados en línea, motores de búsqueda y servicios de computación en la nube. Los DSPs están obligados a asegurar un alto nivel de seguridad y a notificar a las autoridades competentes sobre cualquier incidente significativo. Las Regulaciones también otorgan a las autoridades competentes poderes para obtener información y emitir instrucciones a los DSPs para asegurar su cumplimiento.

Identificación de Operadores de Servicios Esenciales

Las Regulaciones NIS requieren que las autoridades competentes identifiquen a los operadores de servicios esenciales dentro de su sector, basándose en un conjunto de criterios. Estos criterios consideran aspectos como el tipo de servicio, el impacto potencial de un incidente y el número de usuarios afectados.

La identificación de estos operadores se mantiene bajo revisión para asegurar que continúe reflejando los riesgos asociados con cada sector.

Jurisdicción de las Regulaciones NIS

Las Regulaciones NIS se aplican a OES y DSPs que tienen su oficina principal en el Reino Unido o designan un representante en el Reino Unido si su oficina principal está fuera del Reino Unido. Sin embargo, la naturaleza global de los servicios digitales y el impacto potencialmente amplio de los incidentes cibernéticos significa que las Regulaciones tienen una dimensión internacional inherente.

En este sentido, las Regulaciones NIS proporcionan un marco para la coordinación transfronteriza de respuestas a incidentes cibernéticos significativos, promoción de la cooperación y el intercambio de información entre los estados miembros.

Disposiciones Clave en las Regulaciones NIS 2018

Las Regulaciones NIS 2018 tienen como objetivo mejorar las capacidades nacionales de ciberseguridad, aumentar la cooperación entre los estados miembros de la UE y asegurar los sistemas de información y redes en todo el Reino Unido. Las disposiciones clave de las regulaciones incluyen:

Medidas Operativas y Técnicas

Las Regulaciones NIS requieren que tanto OES como DSPs implementen medidas operativas y técnicas apropiadas y proporcionales para gestionar los riesgos a sus sistemas de información y redes. Estas medidas deben asegurar la seguridad, integridad, continuidad y disponibilidad de sus servicios.

La orientación sobre los detalles de estas medidas es proporcionada por las autoridades competentes para adaptarse a la naturaleza específica y los riesgos asociados con cada sector, incluyendo medidas como políticas de seguridad, protección contra el acceso no autorizado, procedimientos de manejo de incidentes y planes de continuidad del negocio.

Requisito de Notificación de Brechas de Seguridad

Bajo las Regulaciones NIS, OES y DSPs tienen el deber de reportar cualquier incidente que tenga un impacto significativo en la continuidad del servicio esencial que proporcionan. Los incidentes deben ser reportados a la autoridad competente relevante sin demora indebida y no más tarde de 72 horas después de tener conocimiento del incidente.

La notificación debe incluir una descripción del incidente, su impacto y las acciones correctivas tomadas o planificadas. El objetivo es permitir que las autoridades competentes evalúen el impacto transfronterizo y coordinen una respuesta efectiva.

Mecanismos de Reporte de Incidentes

Las Regulaciones NIS mandatan la creación de mecanismos efectivos de reporte de incidentes por parte de las autoridades competentes. Estos mecanismos deben permitir que OES y DSPs cumplan con sus obligaciones de reporte de incidentes y faciliten el intercambio de información sobre amenazas e incidentes.

Estos mecanismos también sirven como una herramienta para aumentar la conciencia sobre los riesgos de ciberseguridad y promover una cultura de seguridad y resiliencia entre OES y DSPs.

Obligaciones de Gestión de Riesgos

Las Regulaciones NIS imponen una obligación a OES y DSPs de adoptar prácticas de gestión de riesgos. Estas prácticas deben permitir la identificación, evaluación y manejo de riesgos a los sistemas de información y redes que utilizan en sus operaciones.

Tales prácticas incluyen evaluaciones de riesgos comprensivas, la implementación de medidas apropiadas para mitigar los riesgos identificados y pruebas y evaluaciones regulares de la efectividad de estas medidas.

Sanciones por Incumplimiento

El incumplimiento de las Regulaciones NIS puede resultar en sanciones significativas. Las autoridades competentes tienen el poder de emitir avisos de aplicación y sanciones, con multas de hasta £17 millones por incidentes que resulten en una amenaza inmediata para la vida o un impacto adverso significativo en la economía del Reino Unido.

El tamaño de la multa se determina por la naturaleza, gravedad y duración del incumplimiento, considerando factores como el daño causado, el impacto en individuos y la sociedad en general, y cualquier infracción previa.

El Papel de las Autoridades Competentes Bajo las Regulaciones NIS

Bajo las Regulaciones NIS, una autoridad competente tiene la responsabilidad de asegurar y monitorear la ejecución de la Directiva NIS dentro de un sector o subsector especificado.

Designación y Responsabilidades de las Autoridades Competentes

Cada sector bajo el alcance de las Regulaciones NIS tiene una autoridad competente designada responsable de la implementación y aplicación de las regulaciones dentro de ese sector.

Las responsabilidades de las autoridades competentes incluyen asegurar que OES y DSPs estén implementando medidas de seguridad apropiadas y proporcionales, evaluar la efectividad de estas medidas y hacer cumplir el cumplimiento cuando sea necesario.

Poderes de las Autoridades Competentes Bajo las Regulaciones NIS

Las autoridades competentes tienen una gama de poderes bajo las Regulaciones NIS para asegurar el cumplimiento. Estos incluyen el poder de emitir instrucciones a OES y DSPs para remediar cualquier deficiencia, requerir información o llevar a cabo inspecciones, e imponer sanciones por incumplimiento.

El ejercicio de estos poderes está sujeto a salvaguardias procedimentales, asegurando un enfoque equilibrado entre la necesidad de asegurar los sistemas de información y redes y proteger los derechos de las entidades reguladas.

Interacciones Entre las Autoridades Competentes y las Entidades Reguladas

Las Regulaciones NIS tienen como objetivo crear un enfoque colaborativo para la ciberseguridad entre las autoridades competentes y las entidades reguladas. Las autoridades competentes proporcionan orientación y apoyo para ayudar a OES y DSPs a entender sus obligaciones e implementar medidas apropiadas.

También hay un requisito de diálogo regular, fomentando un intercambio abierto de información sobre amenazas, incidentes y mejores prácticas.

Requisitos de Cumplimiento de las Regulaciones NIS

Los siguientes son algunos de los requisitos clave de cumplimiento de las Regulaciones NIS:

Auditorías de Cumplimiento Bajo las Regulaciones NIS

Las Regulaciones NIS facultan a las autoridades competentes para llevar a cabo auditorías para evaluar el cumplimiento. Estas pueden incluir evaluaciones de las prácticas de seguridad de una entidad, procesos de gestión de riesgos, capacidades de respuesta a incidentes y otros aspectos de la seguridad de sus sistemas de información y redes. Los hallazgos de estas auditorías pueden resultar en recomendaciones para mejoras, o en casos de deficiencias serias, acciones de aplicación.

Cumplimiento para Operadores de Servicios Esenciales

Los Operadores de Servicios Esenciales deben cumplir con una serie de obligaciones bajo las Regulaciones NIS. Estas incluyen la implementación de medidas de seguridad apropiadas y proporcionales, el cumplimiento con los requisitos de reporte de incidentes, la cooperación con la autoridad competente y, cuando sea necesario, la realización de auditorías e inspecciones. La orientación y el apoyo están disponibles por parte de las autoridades competentes para ayudar a OES a entender y cumplir con sus obligaciones.

Cumplimiento para Proveedores de Servicios Digitales

Los Proveedores de Servicios Digitales también están sujetos a requisitos de cumplimiento bajo las Regulaciones NIS. Aunque se les da más flexibilidad en la elección de medidas de seguridad, deben asegurar un alto nivel de seguridad de sus sistemas de información y redes. Esto incluye cumplir con los requisitos de reporte de incidentes y cooperar con la autoridad competente. Al igual que con OES, las autoridades competentes proporcionan orientación y apoyo para ayudar a DSPs a lograr el cumplimiento.

Mejores Prácticas para Asegurar el Cumplimiento

Asegurar el cumplimiento con las Regulaciones NIS implica desarrollar una comprensión comprensiva de las obligaciones, establecer medidas efectivas de seguridad y gestión de riesgos, fomentar una cultura de ciberseguridad dentro de la organización y mantener un diálogo regular con la autoridad competente.

Adoptar mejores prácticas, como alinearse con estándares internacionales, pruebas y actualizaciones regulares de medidas, y el intercambio de información con otras entidades también puede contribuir significativamente a lograr el cumplimiento.

Kiteworks Ayuda a las Organizaciones a Cumplir con las Regulaciones NIS 2018

Las Regulaciones NIS 2018 se aplican a todas las industrias y requieren que las organizaciones tomen medidas apropiadas y proporcionales para gestionar los riesgos que ponen en peligro sus sistemas de información y redes.

La Red de Contenido Privado (PCN) de Kiteworks proporciona una plataforma segura para la transmisión y almacenamiento de contenido sensible, asegurando que las organizaciones puedan mantener la integridad y confidencialidad de sus sistemas de información en cumplimiento con las Regulaciones NIS.

Kiteworks consolida canales de comunicación de terceros incluyendo correo electrónico, intercambio de archivos, transferencia de archivos administrada (MFT), formularios web, y SFTP, y los ejecuta a través de un dispositivo virtual reforzado que reduce la superficie de ataque de estas aplicaciones que de otro modo serían vulnerables. Kiteworks protege el contenido sensible que se comparte a través de estos canales con una variedad de características de seguridad incluyendo opciones de implementación segura, controles de acceso granulares, cifrado automatizado de extremo a extremo, autenticación multifactor, visibilidad en toda la actividad de archivos, y registros de auditoría comprensivos.

Estas y otras características permiten a las organizaciones controlar, proteger y rastrear contenido sensible que entra y sale de la organización en cumplimiento con numerosas regulaciones de privacidad de datos estatales, nacionales, regionales e industriales como la Ley de Privacidad del Consumidor de California (CCPA), Reglamento General de Protección de Datos (GDPR), Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA), Marco de privacidad de datos de la Unión Europea y EE. UU., Cyber Essentials Plus, Directiva NIS 2, y muchas más.

Programa una demostración personalizada de la Red de Contenido Privado de Kiteworks hoy para aprender cómo protege los datos NIS.

Volver al Glosario de Riesgo y Cumplimiento

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

始めましょう。

Kiteworksを使用すれば、規制コンプライアンスを確保し、リスクを効果的に管理することが簡単に始められます。今日、コンテンツ通信プラットフォームに自信を持つ数千の組織に参加しましょう。以下のオプションから選択してください。

デモを予約
担当者に相談
Compartir
Twittear
Compartir
Explore Kiteworks