google 4,9 (34 opiniones)
Cyber security servicio para usted
Programe una demostración
Volver al Centro de recursos

Directriz NIS2 para empresas de contabilidad: ¿qué medidas mínimas de ciberseguridad debe adoptar?

8 de marzo de 2023 - General

Compartir

La nueva directiva NIS2 obliga a las empresas de contabilidad a tomar más medidas para evitar brechas de ciberseguridad. La ley cibernética europea está en vigor desde el 16 de enero de 2023. Los Países Bajos y otros Estados miembros tienen hasta octubre de 2024 para aplicar la legislación a nivel nacional. Esto significa que, a partir de ese momento, los contables tendrán que cumplir las nuevas directrices de ciberseguridad.

¿Qué es la nueva directiva NIS2?

La nueva directiva NIS2 endurece los requisitos para las empresas esenciales y añade obligaciones para las "empresas importantes", incluidas las empresas de contabilidad. En un artículo anterior, explicamos qué implica la nueva directiva y qué cambia en comparación con la NIS1. La principal diferencia es la ampliación a "empresas importantes" además de las empresas esenciales, a las que ya se aplicaba la directiva. Las empresas de contabilidad también se consideran empresas importantes y deberán cumplir directrices de ciberseguridad más estrictas a partir de 2024.

¿Qué cambia para las empresas de contabilidad?

Las empresas de contabilidad ya tienen que cumplir las directrices para una buena documentación informática, especialmente en lo que respecta a la seguridad de la información que garantice la continuidad, la fiabilidad y los riesgos del tratamiento automatizado de datos (NIA 315 (COS 315) de la ISAAB). Las empresas de contabilidad también están obligadas a informar sobre la ciberseguridad basándose en un examen de expertos (artículo 2:393 apartado 4 BW).

Además, se están añadiendo nuevas normas. Por ejemplo, el consejo de administración es ahora responsable de la ciberseguridad de la empresa de contabilidad, y ya no sólo es responsabilidad de un socio informático de la empresa. La nueva directiva añade otros tres cambios:

  • Lista de medidas básicas mínimas de seguridad
    La directiva es más concreta, gracias a una lista de medidas de seguridad básicas mínimas que las empresas deben aplicar. La directiva impone un enfoque de la gestión de riesgos.
  • Seguridad en la cadena de suministro
    Las empresas deben abordar los riesgos de seguridad en su cadena de suministro, incluidos los derivados de las relaciones con los proveedores.
  • Supervisión más estricta
    Las autoridades nacionales podrán llevar a cabo una supervisión y aplicación más estrictas. La nueva directiva armoniza las normas sobre sanciones y los requisitos de información de forma más equitativa en todos los Estados miembros.

¿Le multarán si no cumple la normativa?

Las empresas de contabilidad que no cumplan la nueva directiva recibirán una advertencia y luego un recordatorio. A continuación, la autoridad local podrá imponer multas, de hasta un máximo de 10 millones de euros o el dos por ciento del volumen de negocios anual.

¿A qué riesgos se enfrentan las empresas de contabilidad?

La Unión Europea designa a las empresas de contabilidad como negocios importantes. Los riesgos cibernéticos repercuten tanto en las propias empresas como en la sociedad en general. Por supuesto, los contables son conscientes desde hace tiempo del riesgo que supone la ciberdelincuencia. Por ejemplo, la investigación de Skopos muestra que la mayoría de los contables creen que la seguridad de la información debería recibir más atención.

La empresa de contabilidad Grant Thornton señala que se ha pasado de ganar dinero a las intenciones maliciosas y los crecientes riesgos que ello conlleva. Además, ya se ha informado de que empresas neerlandesas están siendo pirateadas por los servicios de inteligencia rusos.

La SRA, que representa a 375 contables independientes con 900 sucursales en los Países Bajos como organización de red, informa de que las empresas de contabilidad se enfrentan cada vez más, por ejemplo, a ransomware, malware y cryptojacking.

Prevención de la ciberdelincuencia: ¿qué puede hacer una empresa de contabilidad?

Basándose en la nueva directiva NIS2, las empresas de contabilidad deberán tomar medidas adecuadas a partir de 2024 para evitar violaciones de la ciberseguridad o limitar sus consecuencias. Ya se pueden tomar medidas de cara a la nueva directiva. La SRA recomienda, por ejemplo

  • Identificación de riesgos
    Sólo podrá tomar las medidas adecuadas si conoce los riesgos a los que se enfrenta su empresa de contabilidad. Asegúrese de determinar los riesgos o contrate a especialistas externos para ello. Dentro de los riesgos, distinga entre los de prestación directa de servicios y los de continuidad de la actividad. Clasifique los riesgos para crear una lista de prioridades y tome las medidas adecuadas.
  • Un marco político de ciberseguridad
    Desarrolle un marco político de ciberseguridad para reflexionar en toda la organización sobre los ciberriesgos y las medidas importantes. Empiece con una simple hoja A4 en la que se esbocen los principios, los marcos y las distintas responsabilidades. Más adelante, amplíela a una política más exhaustiva, como las centradas en los ciberriesgos específicos a los que se enfrenta su empresa de contabilidad.
  • Prepararse para las filtraciones de datos y los ataques informáticos
    Prepárese para las filtraciones de datos y los ataques informáticos, porque todas las organizaciones pueden sufrirlos. Elabore un plan que describa quién debe responder y cómo, y qué medidas de recuperación son necesarias. Lleve un registro de todos los incidentes y analice lo ocurrido. Cierre las brechas de seguridad y compruebe si las medidas están dando los resultados previstos.
  • Tomar medidas concretas
    Adopte medidas concretas cuando sigan existiendo lagunas de seguridad. O bien, cumpla las medidas especificadas en la nueva directiva NIS2 para prepararse para los cambios de 2024. Mejore la ciberseguridad, tanto dentro de su empresa de contabilidad como en las relaciones con los proveedores. La nueva directiva exige a las empresas que tengan en cuenta la ciberseguridad en toda la cadena de suministro.
  • Subcontratar TI a especialistas
    Subcontrate las TI y la ciberseguridad a especialistas que se ocupen de estos temas a diario. Contrate también a especialistas para migrar aplicaciones a la nube o añadir, mejorar o cambiar otros servicios informáticos. Desarrollan basándose en Security by Design, pensando en la (ciber)seguridad en cada paso.

Además, algunas medidas básicas pueden mejorar directamente la ciberresiliencia de su empresa de contabilidad, como:

  • Autenticación multifactor (MFA) para todas las cuentas digitales
  • Copias de seguridad periódicas (automatizadas)
  • Uso de un gestor de contraseñas con una contraseña maestra compleja
  • Configurar una notificación para correos electrónicos de remitentes externos
  • Listas de contactos disponibles sin conexión

Hazlo fácil con Guardey

Como empresa de contabilidad, puede que te sientas abrumado por todo esto. Después de todo, usted preferiría centrarse en su trabajo contable. Así que deje que Guardey se ocupe de la ciberseguridad por usted. Ofrecemos una solución completa para una conectividad segura, protección contra software dañino y capacitación profesional (¡pero divertida!) para los empleados.

Con Guardey, usted elige una solución completa de ciberseguridad de una sola vez. Somos totalmente plug & play, por lo que es sencillo, accesible y asequible.

Descubra nuestra solución o pregúntenos cualquier duda. Estaremos encantados de explicarle cómo Guardey puede proteger su empresa de contabilidad de todas las amenazas digitales y cómo cumplir la directiva NIS2 a partir de 2024.

ÍNDICE
ENTRADAS RELACIONADAS
Prueba Guardey

La solución de formación security awareness de Guardey permite a sus empleados reconocer y denunciar las ciberamenazas.

Prueba gratuita de 14 días

Preguntas frecuentes

¿Qué es la gamificación?

La gamificación consiste en añadir elementos de juego a entornos no lúdicos, como la formación en security awareness , para aumentar la participación y fomentar el aprendizaje activo.

¿Cuáles son las ventajas de la gamificación en la formación security awareness ?

La formación tradicional en security awareness puede resultar árida y aburrida. Con la gamificación, la compleja materia se transforma en una experiencia atractiva y memorable.

Al integrar elementos de juego como retos, pruebas y recompensas, incentiva a los usuarios a aprender activamente. Esto hace que la formación sea más amena y fomenta el sentido de la competición y el logro. Esta combinación hace que se retengan y apliquen mejor los conocimientos de cyber security .

¿Por qué es importante entrenar semanalmente en security awareness ?

Las investigaciones demuestran que hasta el 90% de lo aprendido en una formación anual o incluso trimestral se olvida a las pocas semanas. Guardey se creó para mantener a sus usuarios al tanto de las ciberamenazas los 365 días del año. El juego incluye desafíos semanales de corta duración que aumentan poco a poco los conocimientos del usuario y, con el tiempo, impulsan un cambio de comportamiento duradero.

¿Qué temas se tratan en el juego de Guardey security awareness ?

Guardey cubre una amplia gama de temas para formar a los usuarios sobre todas las ciberamenazas relevantes en la actualidad, elaborados en colaboración con hackers éticos y pedagogos. Los temas tratados incluyen phishing, trabajo remoto, seguridad de contraseñas, fraude de CEO, ransomware, smishing y mucho más.

¿Cuánto tiempo llevan los retos semanales?

Cada reto dura hasta tres minutos.

¿Puedo utilizar Guardey para cumplir las políticas ISO27001, NIS2 y GDPR security awareness ?

Sí. ISO27001, NIS2 y GDPR exigen que todos los empleados reciban la capacitación adecuada security awareness . Guardey siempre está al día con las últimas amenazas cibernéticas, políticas y procedimientos.

¿Es importante la formación en security awareness para todos los empleados, o sólo para funciones específicas?

La formación en ciberseguridad es crucial para todos los empleados, no sólo para funciones específicas. Cada miembro del personal puede ser potencialmente un objetivo o un punto de entrada involuntario para los ciberataques. La formación ayuda a crear una cultura centrada en la seguridad y minimiza los riesgos para toda la organización.

Aunque determinadas funciones pueden requerir una formación especializada, todo el mundo debería tener acceso a un nivel básico de formación.

¿En qué idiomas está disponible Guardey?

Guardey está disponible en inglés, neerlandés, italiano, francés, español, alemán, polaco, sueco y danés.

¿Quiere hacer más preguntas?
Solicite una demostración personal

Reciba las últimas noticias y recursos directamente en su bandeja de entrada.

Recursos que pueden interesarle

General
ISO27001 Security Awareness Formación: Una guía completa
guardey-sprint-reunión
Cyber security
Por qué la mayoría de las simulaciones de phishing hacen más mal que bien (y cómo lo estamos arreglando)
General
El 95% de los hackeos y fugas de datos se deben a errores humanos. He aquí por qué el juego es la solución.
Centro de recursos
Sitio web de Anouk CTA Guardey
PRUEBA GRATUITA DE 14 DÍAS

Experimente Guardey hoy mismo.

  • Pruebe completamente gratis
  • Asistencia 24/7
Prueba gratuita de 14 días