Requisitos de cumplimiento para infraestructura crítica
Las empresas de energía y utilities están clasificadas como operadores de servicios esenciales (OES) bajo la Directiva NIS2 de la UE, lo que las somete a obligaciones obligatorias de gestión de riesgos de ciberseguridad, notificación de incidentes y seguridad de la cadena de suministro. El incumplimiento conlleva multas administrativas de hasta 10 millones de euros o el 2% de la facturación global bajo NIS2.
Directiva NIS2 — Obligaciones clave
- Medidas de gestión de riesgos de ciberseguridad proporcionales al riesgo
- Notificación de incidentes: incidentes significativos al CSIRT nacional en 24 horas, informe completo en 72 horas
- Seguridad de la cadena de suministro — evaluación de las prácticas de seguridad de proveedores y prestadores de servicios
- Medidas de continuidad del negocio — gestión de copias de seguridad, recuperación ante desastres, gestión de crisis
- Responsabilidad de la alta dirección — NIS2 responsabiliza explícitamente a los órganos de dirección de forma personal
Alineación de ISO 27001 y NIS2
ISO 27001:2022 proporciona el marco más completo para satisfacer los requisitos de gestión de riesgos de ciberseguridad del Artículo 21 de NIS2. El programa de preparación NIS2 de BALTUM mapea los controles de su SGSI ISO 27001 a las obligaciones NIS2 — identificando brechas y proporcionando una hoja de ruta de remediación priorizada alineada con el plazo de transposición NIS2 de su Estado Miembro.
Seguridad OT e ICS
Las organizaciones de energía y utilities enfrentan el desafío adicional de la seguridad de la tecnología operativa (OT) y los sistemas de control industrial (ICS), áreas no completamente abordadas por los marcos orientados a TI. BALTUM trabaja con auditores especializados en OT para ampliar el alcance de ISO 27001 a entornos SCADA, DCS e ICS, con referencia a las normas IEC 62443 cuando corresponda.