Requisitos de conformidade para infraestructura crítica
Las empresas de energia e utilities estão clasificadas como operadores de serviços esenciales (OES) bajo la Directiva NIS2 da UE, lo que as somete a obligaciones obligatorias de gestão de riscos de cibersegurança, notificação de incidentes e segurança da cadeia de suprimentos. El inconformidade conlleva multas administrativas de hasta 10 millones de euros o o 2% da facturación global bajo NIS2.
Directiva NIS2 — Obligaciones chave
- Medidas de gestão de riscos de cibersegurança proporcionales al risco
- Notificação de incidentes: incidentes significativos al CSIRT nacional em 24 horas, informe completo em 72 horas
- Segurança da cadeia de suprimentos — avaliação de as prácticas de segurança de fornecedores e prestadores de serviços
- Medidas de continuidade do negócio — gestão de copias de segurança, recuperação ante desastres, gestão de crisis
- Responsabilidad da alta direção — NIS2 responsabiliza explícitamente a os órganos de direção de forma personal
Alinhamento de ISO 27001 e NIS2
ISO 27001:2022 proporciona o marco mais completo para satisfacer os requisitos de gestão de riscos de cibersegurança do Artículo 21 de NIS2. El programa de preparação NIS2 de BALTUM mapea os controles de seu SGSI ISO 27001 a as obligaciones NIS2 — identificando brechas e proporcionando uma hoja de ruta de remediação priorizada alineada com o plazo de transposição NIS2 de seu Estado Miembro.
Segurança OT e ICS
Las organizações de energia e utilities enfrentan o desafío adicional da segurança da tecnologia operacional (OT) e os sistemas de control industrial (ICS), áreas no completamente abordadas por os marcos orientados a TI. BALTUM trabaja com auditores especializados em OT para ampliar o escopo de ISO 27001 a entornos SCADA, DCS e ICS, com referencia a as normas IEC 62443 cuando corresponda.