Strategic Services & Smart Solutions

PCE-NIS2 – Perfil de Cumplimiento Específico para la Directiva NIS2

El Centro Criptológico Nacional (CCN) publicó el día 5 de Agosto un nuevo Perfil de Cumplimiento Específico para la Directiva NIS2 (PCE-NIS2) para garantizar un nivel mínimo de seguridad en organizaciones en el ámbito de aplicación del ENS y de la Directiva NIS2 (PCE-NIS2) y que analiza los requisitos de la Directiva NIS2 en relación con los requisitos del Esquema Nacional de Seguridad (ENS).

Aquellas organizaciones certificadas en categoría ALTA del ENS, con alcance adecuado, cumplen con los requisitos de ciberseguridad de la Directiva NIS2. En cambio, si no están certificadas del ENS, o lo están en categorías MEDIA o BÁSICA, deberán adoptar este PCE-NIS2 para cumplir.

Analizando los cambios, vemos que ahora, ya no nos vale con el grado de implementación G1 (Estado de implementación de la medida = iniciada o en proceso de implantación), se requiere la medida de seguridad implementada (grado G2), esto significa que:

  • Medida de seguridad implementada. La medida de seguridad está definida de forma documentada. Hay normativa establecida y procedimientos para garantizar la reacción profesional ante posibles incidencias. Además, se ejerce un mantenimiento regular sobre la medida.
  • Medida de seguridad medible y gestionable. Se dispone de métricas e indicadores para conocer el desempeño (eficacia y eficiencia) de la medida, lo que posibilita su gestión.
  • Medida de seguridad en ciclo de mejora continua. El grado G2 de implementación también se centra en mantener la mejora continua de la medida de seguridad y los procesos asociados. Se alcanza cuando se rectifica y mejora la efectividad de la medida de seguridad con la suficiente continuidad y en base a las métricas e indicadores recopilados.

Las organizaciones que no tengan un ENS o ISO 27001 tendrán que tener políticas, procedimientos, análisis de riesgos, plan de continuidad, evaluación de proveedores y una correcta gestión de incidentes.

El Perfil de Cumplimiento Específico (PCE-NIS2), en el marco de la Certificación de Conformidad con el ENS, debe ser objeto de una auditoría interna anual, así como de una auditoría de renovación de la Certificación de Conformidad cada 2 años.