Navegar por las normativas de ciberseguridad más importantes de la actualidad

Por qué es importante el cumplimiento de la normativa de ciberseguridad

En el mundo conectado de hoy en día, la seguridad de los datos y de la red ya no son sólo preocupaciones técnicas: son imperativos legales y de reputación. A medida que evolucionan las amenazas y se amplía la infraestructura digital, los marcos normativos diseñados para mantener la seguridad de los sistemas deben seguir el ritmo. Pero el cumplimiento de estas normativas no consiste sólo en evitar multas o marcar casillas. Se trata de integrar la seguridad en cada fase del desarrollo del producto y de la integración del sistema.

En los dos primeros blogs de esta serie, exploramos el lado humano de la ciberseguridad: por qué es importante la concienciación y cómo gestionar las vulnerabilidades de forma responsable. Ahora, nos centraremos en las normas de ciberseguridad que definen el estándar mínimo para sistemas seguros.

Normativa obligatoria: Lo que debe cumplir

Directiva de seguridad de las redes y de la información 2 (NIS2): Fortalecimiento de la concienciación sobre ciberseguridad en toda la UE

¿Qué es la NIS2?

Adoptada por la UE en 2022, la Directiva de seguridad de las redes y de la información 2 (NIS2) amplía los requisitos obligatorios de ciberseguridad a una gama más amplia de industrias, incluidas las infraestructuras críticas, los servicios digitales, los fabricantes de dispositivos conectados, los servicios postales/de mensajería, la ciencia, la investigación y la educación. En virtud de la NIS2, las empresas deben:

• Adoptar medidas de seguridad basadas en el riesgo para sus redes y sistemas de información.

• Informar de los incidentes de seguridad graves en un plazo de 24 horas desde su detección.

• Implementar requisitos de seguridad más estrictos en la cadena de suministro, garantizando que todo el ecosistema, incluidos los fabricantes, integradores y proveedores de servicios, se adhiera a prácticas de seguridad sólidas.

NIS2 desempeña un papel crucial en la protección de los servicios esenciales en toda la Unión Europea, aplicando medidas de ciberseguridad más estrictas y concienciando para proteger las infraestructuras críticas, como las redes eléctricas, los sistemas de suministro de agua y los sistemas sanitarios. De este modo, garantiza que los servicios esenciales cotidianos, como la electricidad, el agua potable y los servicios médicos, sigan siendo resistentes a las ciberamenazas, preservando así tanto la estabilidad social como la seguridad pública.

Descubra más en nuestra entrada del blog: El camino hacia la seguridad digital: un vistazo a la Directiva NIS2 de la UE.
 

La Directiva de equipos radioeléctricos (RED): requisitos de ciberseguridad para dispositivos inalámbricos

¿Qué es la RED?

La Directiva de equipos radioeléctricos (RED), aplicada por la Unión Europea, está evolucionando para introducir requisitos obligatorios de ciberseguridad para todos los dispositivos inalámbricos y conectados por radio. Esto también es relevante para los intercomunicadores basados en IP y los sistemas de control de acceso, ya que estos sistemas suelen utilizar tecnologías basadas en radio para el control de acceso, como lectores de tarjetas RFID o lectores Bluetooth. Si un dispositivo no cumple con la RED, podría sufrir interrupciones operativas o incluso prohibirse su venta en la UE. Esto incluye:

• Garantizar la resiliencia de la red para evitar el acceso no autorizado.

• Proteger los datos personales y la privacidad exigiendo a los fabricantes que implementen un cifrado y una autenticación más sólidos.

• Prevenir el fraude garantizando que los dispositivos no puedan ser explotados a través de configuraciones de seguridad débiles.

Póngase al día con nuestro blog: ¿Preparado para RED? Cumplir la Directiva sobre equipos radioeléctricos.

Seguridad de los productos y de las infraestructuras de telecomunicaciones (PSTI): Requisitos mínimos de seguridad

¿Qué es la PSTI?

Uno de los cambios normativos recientes más significativos es la Ley de Seguridad de Productos e Infraestructura de Telecomunicaciones (PSTI) del Reino Unido, que exige a los fabricantes de dispositivos conectados que proporcionen información clara sobre sus políticas de actualización de software. Esto significa que las empresas ya no pueden interrumpir las actualizaciones de seguridad sin previo aviso, dejando los sistemas vulnerables. Además, deben:

• Declarar cuánto tiempo estarán disponibles las actualizaciones de software antes del fin de la vida útil del producto.

• Desactivar el uso de productos con contraseñas predeterminadas, garantizando que los dispositivos impongan la configuración de contraseñas únicas.

• Proporcionar públicamente medios para que los usuarios e investigadores estén atentos a la ciberseguridad y denuncien posibles fallos.

Estándares del sector: ir más allá del cumplimiento

Si bien las regulaciones obligatorias establecen los requisitos mínimos de ciberseguridad, las certificaciones de la industria demuestran un compromiso con estándares de seguridad más altos. Aunque estas certificaciones no son legalmente obligatorias, sirven como poderosos indicadores de que una empresa se toma en serio la concienciación sobre la ciberseguridad y cuenta con procesos estructurados y repetibles para gestionar los riesgos. Los principales proveedores siguen marcos como:

• ISO 27001: la norma internacional para la gestión de la seguridad de la información

• Una certificación reconocida a nivel mundial que garantiza que una empresa sigue políticas estructuradas de ciberseguridad y estrategias de gestión de riesgos.

• EN 303 645: una norma de seguridad para dispositivos IoT

• Una norma europea que describe las mejores prácticas de seguridad para dispositivos conectados, incluidas actualizaciones de software seguras, políticas de contraseñas, requisitos de protección de datos y muchas más.

• Cumplimiento de la NDAA: garantizar la confianza para el mercado estadounidense y más allá

• La Ley de Autorización de Defensa Nacional (NDAA) de Estados Unidos restringe el uso de equipos de telecomunicaciones y seguridad de ciertos fabricantes que se consideran un riesgo para la ciberseguridad. Los integradores que trabajan en proyectos gubernamentales o de infraestructuras críticas deben asegurarse de que todos los dispositivos, como cámaras IP, intercomunicadores y lectores de acceso, cumplan los requisitos de conformidad de la NDAA. Sin embargo, este no es solo un requisito del gobierno de EE. UU.; muchas organizaciones no gubernamentales de todo el mundo están adoptando voluntariamente los mismos estándares de seguridad. Al excluir las marcas que no son de confianza, fortalecen la resistencia de sus sistemas y garantizan la ciberseguridad a largo plazo.

El cumplimiento es solo el principio: el liderazgo en ciberseguridad va más allá

Aunque adherirse a estándares como RED, NIS2 o PSTI es esencial, el cumplimiento por sí solo no significa que una empresa sea líder en ciberseguridad. El cumplimiento normativo es el requisito mínimo: ir más allá y comprender la complejidad de la ciberseguridad es lo que diferencia a las marcas seguras y con visión de futuro.

Muchas empresas siguen considerando la concienciación sobre la ciberseguridad como una necesidad impulsada por el cumplimiento normativo, en lugar de una ventaja estratégica. Sin embargo, los incidentes del mundo real han demostrado que invertir en medidas de seguridad sólidas no solo sirve para evitar multas, sino también para proteger la continuidad del negocio, la confianza de los clientes e incluso vidas.

Para los integradores de sistemas y los administradores de propiedades, elegir a los proveedores adecuados es crucial. Antes de tomar una decisión, pregúntate:

• ¿Proporciona el fabricante soporte de software a largo plazo y actualizaciones de seguridad?

• ¿Son transparentes en cuanto a la divulgación de vulnerabilidades y parches?

• ¿Superan los requisitos legales al adherirse a las mejores prácticas, como ISO 27001 y EN 303 645?

Si la respuesta es no, podría ser el momento de reconsiderar tus opciones. Las ciberamenazas no esperan, ¿por qué debería hacerlo tú?