google 4,9 (34 opiniones)
Servicio de ciberseguridad para usted
Hágase socio
Volver al Centro de recursos

Directriz NIS2 para empresas de contabilidad: ¿qué medidas mínimas de ciberseguridad debe adoptar?

8 de marzo de 2023 - General

Compartir

La nueva directiva NIS2 obliga a las empresas de contabilidad a tomar más medidas para evitar brechas de ciberseguridad. La ley cibernética europea está en vigor desde el 16 de enero de 2023. Los Países Bajos y otros Estados miembros tienen hasta octubre de 2024 para aplicar la legislación a nivel nacional. Esto significa que, a partir de ese momento, los contables tendrán que cumplir las nuevas directrices de ciberseguridad.

¿Qué es la nueva directiva NIS2?

La nueva directiva NIS2 endurece los requisitos para las empresas esenciales y añade obligaciones para las "empresas importantes", incluidas las empresas de contabilidad. En un artículo anterior, explicamos qué implica la nueva directiva y qué cambia en comparación con la NIS1. La principal diferencia es la ampliación a "empresas importantes" además de las empresas esenciales, a las que ya se aplicaba la directiva. Las empresas de contabilidad también se consideran empresas importantes y deberán cumplir directrices de ciberseguridad más estrictas a partir de 2024.

¿Qué cambia para las empresas de contabilidad?

Las empresas de contabilidad ya tienen que cumplir las directrices para una buena documentación informática, especialmente en lo que respecta a la seguridad de la información que garantice la continuidad, fiabilidad y riesgos del tratamiento automatizado de datos (NIA 315 (COS 315) de la ISAAB). Las empresas de contabilidad también están obligadas a informar sobre la ciberseguridad basándose en un examen de expertos (artículo 2:393 apartado 4 BW).

Además, se están añadiendo nuevas normas. Por ejemplo, el consejo de administración es ahora responsable de la ciberseguridad de la empresa de contabilidad, y ya no sólo es responsabilidad de un socio informático de la empresa. La nueva directiva añade otros tres cambios:

  • Lista de medidas de seguridad básicas mínimas
    La directiva es más concreta, gracias a una lista de medidas de seguridad básicas mínimas que las empresas deben aplicar. La directiva impone un enfoque de la gestión de riesgos.
  • Seguridad en la cadena de suministro
    Las empresas deben abordar los riesgos de seguridad en su cadena de suministro, incluidos los derivados de las relaciones con los proveedores.
  • Supervisión más estricta
    Las autoridades nacionales podrán llevar a cabo una supervisión y aplicación más estrictas. La nueva directiva armoniza las normas sobre sanciones y los requisitos de información de forma más equitativa en todos los Estados miembros.

¿Le multarán si no cumple la normativa?

Las empresas de contabilidad que no cumplan la nueva directiva recibirán una advertencia y luego un recordatorio. A continuación, la autoridad local podrá imponer multas, de hasta un máximo de 10 millones de euros o el dos por ciento del volumen de negocios anual.

¿A qué riesgos se enfrentan las empresas de contabilidad?

La Unión Europea designa a las empresas de contabilidad como negocios importantes. Los riesgos cibernéticos repercuten tanto en las propias empresas como en la sociedad en general. Por supuesto, los contables son conscientes desde hace tiempo del riesgo que supone la ciberdelincuencia. Por ejemplo, la investigación de Skopos muestra que la mayoría de los contables creen que la seguridad de la información debería recibir más atención.

La empresa de contabilidad Grant Thornton señala que se ha pasado de ganar dinero a las intenciones maliciosas y los crecientes riesgos que ello conlleva. Además, ya se ha informado de que empresas neerlandesas están siendo pirateadas por los servicios de inteligencia rusos.

La SRA, que representa a 375 contables independientes con 900 sucursales en los Países Bajos como organización de red, informa de que las empresas de contabilidad se enfrentan cada vez más, por ejemplo, a ransomware, malware y cryptojacking.

Prevención de la ciberdelincuencia: ¿qué puede hacer una empresa de contabilidad?

Basándose en la nueva directiva NIS2, las empresas de contabilidad deberán tomar medidas adecuadas a partir de 2024 para evitar violaciones de la ciberseguridad o limitar sus consecuencias. Ya se pueden tomar medidas de cara a la nueva directiva. La SRA recomienda, por ejemplo

  • Identificación de riesgos
    Sólo podrá tomar las medidas adecuadas si conoce los riesgos a los que se enfrenta su empresa de contabilidad. Asegúrese de determinar los riesgos o contrate a especialistas externos para ello. Dentro de los riesgos, distinga entre los de prestación directa de servicios y los de continuidad de la actividad. Clasifique los riesgos para crear una lista de prioridades y tome las medidas adecuadas.
  • Un marco político de ciberseguridad
    Desarrolle un marco político de ciberseguridad para reflexionar en toda la organización sobre los ciberriesgos y las medidas importantes. Empiece con una simple hoja A4 en la que se esbocen los principios, los marcos y las distintas responsabilidades. Más adelante, amplíela a una política más exhaustiva, como las centradas en los ciberriesgos específicos a los que se enfrenta su empresa de contabilidad.
  • Prepararse para las filtraciones de datos y los ataques informáticos
    Prepárese para las filtraciones de datos y los ataques informáticos, porque todas las organizaciones pueden sufrirlos. Elabore un plan que describa quién debe responder y cómo, y qué medidas de recuperación son necesarias. Lleve un registro de todos los incidentes y analice lo ocurrido. Cierre las brechas de seguridad y compruebe si las medidas están dando los resultados previstos.
  • Tomar medidas concretas
    Adopte medidas concretas cuando sigan existiendo lagunas de seguridad. O bien, cumpla las medidas especificadas en la nueva directiva NIS2 para prepararse para los cambios de 2024. Mejore la ciberseguridad, tanto dentro de su empresa de contabilidad como en las relaciones con los proveedores. La nueva directiva exige a las empresas que tengan en cuenta la ciberseguridad en toda la cadena de suministro.
  • Subcontratar TI a especialistas
    Subcontrate las TI y la ciberseguridad a especialistas que se ocupen de estos temas a diario. Contrate también a especialistas para migrar aplicaciones a la nube o añadir, mejorar o cambiar otros servicios informáticos. Desarrollan basándose en Security by Design, pensando en la (ciber)seguridad en cada paso.

Además, algunas medidas básicas pueden mejorar directamente la ciberresiliencia de su empresa de contabilidad, como:

  • Autenticación multifactor (MFA) para todas las cuentas digitales
  • Copias de seguridad periódicas (automatizadas)
  • Uso de un gestor de contraseñas con una contraseña maestra compleja
  • Configurar una notificación para correos electrónicos de remitentes externos
  • Listas de contactos disponibles sin conexión

Hazlo fácil con Guardey

Como empresa de contabilidad, puede que te sientas abrumado por todo esto. Después de todo, usted preferiría centrarse en su trabajo contable. Así que deje que Guardey se ocupe de la ciberseguridad por usted. Ofrecemos una solución completa para una conectividad segura, protección contra software dañino y capacitación profesional (¡pero divertida!) para los empleados.

Con Guardey, usted elige una solución completa de ciberseguridad de una sola vez. Somos totalmente plug & play, por lo que es sencillo, accesible y asequible.

Descubra nuestra solución o pregúntenos cualquier duda. Estaremos encantados de explicarle cómo Guardey puede proteger su empresa de contabilidad de todas las amenazas digitales y cómo cumplir la directiva NIS2 a partir de 2024.

ÍNDICE
ENTRADAS RELACIONADAS
Reduzca su mayor factor de riesgo

Prueba Guardey gratis y crea un cambio de comportamiento sostenible en la conciencia cibernética con el juego de Guardey

Prueba gratuita de 14 días

Preguntas frecuentes

Ya tengo un cortafuegos, ¿sigo necesitando Guardey?

Confiar únicamente en un cortafuegos para la ciberseguridad deja a su organización vulnerable ante amenazas sofisticadas y en constante evolución. Los ataques cibernéticos se dirigen a múltiples vectores, incluyendo vulnerabilidades en el software, puntos finales de los empleados y aplicaciones web. Guardey trabaja conjuntamente con el cortafuegos.

Los cortafuegos evitan hasta el 80% de los riesgos en línea. Con Guardey, es transparente qué riesgos en línea lograron atravesar el cortafuegos. Además, todavía se cometen errores humanos con demasiada frecuencia, por lo que también hay que formar a los empleados para que trabajen de forma responsable en línea.

Ya tengo una VPN, ¿sigo necesitando Guardey?

Es bueno que ya estés utilizando una VPN. Esto le hace invisible a los malintencionados, pero al fin y al cabo, los empleados pueden seguir siendo vulnerables si introducen pedidos o sitios web equivocados.

Guardey es más que una VPN empresarial. Guardey también proporciona monitoreo en el túnel VPN. Esto detecta riesgos en línea y permite una respuesta rápida.

Estamos demasiado ocupados para la gamificación semanal. ¿Por qué debería participar en la gamificación?

Hoy en día todos estamos ocupados, lo reconocemos 😉 Tanto más importante es la concienciación de los empleados. Asegúrate de que los empleados no cometan errores por accidente debido a la presión. Al fin y al cabo, eso solo genera trabajo extra.

Por eso nuestros retos sólo duran un máximo de 5 minutos y se pueden hacer rápidamente entre medias. Cada semana hay un nuevo reto disponible. Como organización, ¿desea jugar a estos retos cada semana, cada dos semanas o cada mes? Por supuesto, eso tampoco es problema.

¿Puedo jugar también sólo a la gamificación?

Respuesta corta: ¡sí! Es posible jugar sólo a la gamificación.

¿Ha tomado ya suficientes medidas de ciberseguridad para sus empleados en la oficina y fuera de ella? ¿Pero aún se puede trabajar en la concienciación? Entonces también puede jugar sólo con la gamificación. Esto ya se puede hacer muy fácilmente sólo en el navegador. Eche un vistazo a nuestro paquete de sólo juego aquí.

¿Es Guardey eficaz contra los intentos de phishing?

El phishing es especialmente peligroso cuando no se sabe que se trata de phishing. Por eso nuestro juego de concienciación cibernética es el primer paso contra el phishing. Haz que la gente sea consciente de los peligros y asegúrate de que tienen los conocimientos adecuados para que no hagan clic en nada.

Además, Guardey desempeña un papel crucial en la detección de actividades sospechosas en línea. Por ejemplo, si un miembro de su organización interactúa con un sitio web conocido por alojar contenido de phishing, Guardey le alertará inmediatamente sobre el riesgo potencial. Al proporcionar este sistema de alerta proactiva, Guardey ayuda a evitar que los usuarios de su organización sean presa de estafas de phishing.

¿Quiere hacer más preguntas?
Solicite una demostración personal

Reciba las últimas noticias y recursos directamente en su bandeja de entrada.

Recursos que pueden interesarle

General
El 95% de los hackeos y fugas de datos se deben a errores humanos. He aquí por qué el juego es la solución.
Acerca de NIS2
Ciberseguridad
Ciberderecho NIS2 para empresas esenciales: ¿cuál es la diferencia entre NIS1 y NIS2?
General
Las 7 etapas de un ciberataque
Centro de recursos
Anouk ter Harmsel
PRUEBA GRATUITA DE 14 DÍAS

Protejamos su negocio

  • Pruebe completamente gratis
  • Asistencia 24/7
Prueba gratuita de 14 días