Consulta todas las preguntas y respuestas correctas del cuestionario de NIS2 a continuación.
¡Has acertado las 10 preguntas!
No se necesitan datos de pago.
Tu historia:
A: Mejorar la ciberseguridad de las empresas europeas
B: Reducir el riesgo de violación de datos
C: Alinear las medidas europeas cyber security
D: Todo lo anterior es correcto
La NIS2 es la nueva ley europea de ciberseguridad. La ley debería proteger mejor a las empresas europeas de la ciberdelincuencia. Esa mejor protección debería, por ejemplo, reducir el riesgo de filtración de datos.
Además, el objetivo es armonizar las medidas de seguridad europeas. El europarlamentario Bart Groothuis habla de ello en la Cámara de Comercio: "Los avances técnicos van muy rápido. La NIS 1 lleva en vigor desde 2018 y está desfasada. No todos los Estados miembros aplican la ley igual o estrictamente en todas partes. Si ahora haces negocios con otros países europeos o tienes una sucursal en varios países, se aplican normas diferentes en todas partes. Eso no funciona. Vamos a trazar una línea única al respecto".
Tu historia:
B: Organizaciones con un volumen de negocios superior a 50 millones de euros
C: Organizaciones esenciales e importantes en sectores específicos
El NIS2 se aplicará a todas las organizaciones esenciales e importantes de los sectores del cuadro siguiente. Se aplicarán los siguientes criterios:
Las organizaciones esenciales...
...son grandes organizaciones que operan en un sector del Grupo A de la siguiente tabla.
Una organización es grande en:
1. 250 o más empleados o;
2. Ventas netas anuales de 50 millones de euros o un balance general igual o superior a 43 millones de euros.
Las grandes organizaciones...
...son organizaciones de tamaño medio que operan en un sector del Grupo A o B de la siguiente tabla.
Una organización es de tamaño medio en:
1. 50 o más empleados o;
2. Un volumen de negocios anual o un balance general igual o superior a 10 millones de euros.
Grupo A (organizaciones esenciales e importantes) | Grupo B (organizaciones importantes) |
Energía | Proveedores digitales |
Transporte | Servicios postales y de mensajería |
Banca | Gestión de residuos |
Infraestructura | Alimentación |
Sanidad | Productos químicos |
Agua potable | Investigación |
Infraestructura digital | Fabricación y producción |
Aguas residuales | |
Servicios públicos | |
Espacio | |
Gestión de los servicios TIC |
Tu historia:
A: Sólo se auditan las organizaciones esenciales
B: Las organizaciones esenciales son auditadas antes y después, las importantes sólo después.
C: No hay distinción entre organizaciones esenciales e importantes.
El control de las organizaciones esenciales será más estricto que el de las organizaciones importantes. Las organizaciones esenciales serán controladas previamente En
DigitalTrustCenter del Ministerio de Economía y Clima, se puede leer lo siguiente al respecto: "Las entidades esenciales están sujetas a un régimenmás intensivo de supervisión, tanto ex ante como ex post. Las entidades significativas están sujetas a una forma más ligera de supervisión que sólo es ex post. Por ejemplo, si hay indicios de incumplimiento de la ley o si se ha producido un incidente".
Tu historia:
A: Sí
B: No
El NIS2 también se aplicará a las PYME. Es decir, para las organizaciones esenciales e importantes de los sectores mencionados.
El eurodiputado Bart Groothuis lo explica en la Cámara de Comercio: "Todos los que prestan un servicio esencial a los consumidores entran en el ámbito de aplicación de la nueva ley. También los pequeños proveedores de servicios. Todavía estamos discutiendo qué entendemos exactamente por "esencial". Proveedores de servicios de Internet, pequeñas fábricas, empresas que se ocupan del agua o la energía: ese tipo de empresas se considerarán esenciales".
Tu historia:
R: Una directiva, se trata de recomendaciones de seguridad
B: Legislación, prescribe una seguridad básica mínima.
C: Una directiva europea que los Estados miembros deben transponer a la legislación
La NIS2 es la nueva ciberlegislación europea. Es una directiva europea que los Estados miembros integran en su legislación nacional.
En los Países Bajos, la NIS se integró así en la Ley de Seguridad de Redes y Sistemas de Información (Wbni) en 2018.
En diciembre de 2022 se alcanzó un acuerdo a nivel europeo sobre la NIS2, que entró en vigor un mes después. Los Estados miembros deben integrarla en su legislación nacional en un plazo de 21 meses a partir de ese momento. Esto significa que la legislación entrará en vigor en los Países Bajos a más tardar en octubre de 2024.
Tenga en cuenta que en los Países Bajos nos referimos al NIB2 (Network and Information Security) en lugar del NIS2.
Tu historia:
A: Cada organización es responsable de sus propios sistemas.
B: Cada organización es responsable de sus propios sistemas y de los de los proveedores y otros integrantes de la cadena.
C: Cada organización es responsable de sus propios sistemas, de los de los proveedores y de otros integrantes de la cadena, así como de los de otros socios (de cooperación).
La NIS2 hace a las organizaciones responsables de sus propios sistemas, los de los proveedores y otros integrantes de la cadena, así como los de otros socios (de cooperación). Así pues, la NIS2 obliga a protegerse contra los riesgos de los sistemas. En concreto, las organizaciones deben: Evaluar la cyber security de los proveedores.
- Examinar críticamente los riesgos de seguridad en las empresas de la cadena de suministro
- Participar en las evaluaciones de riesgos de la cadena de suministro en el sector.
- Establecer la evaluación y gestión de riesgos de la cadena de suministro para terceros.
- Tomar medidas para una comunicación electrónica segura con los proveedores.
- Notifique a los clientes y a las autoridades las amenazas de terceros.
Más concretamente, según la NIS2, las organizaciones deben vigilar activamente cualquier riesgo cibernético en la cadena (de suministro). Las organizaciones deben:
- Identificar y evaluar las amenazas a los productos y servicios de terceros.
- Desarrollar políticas, planes y soluciones para hacer frente a las amenazas.
- Tomar medidas para garantizar el abastecimiento y suministro de productos y servicios de terceros.
Por último, las organizaciones deben supervisar, evaluar y adoptar continuamente las medidas adecuadas para considerar seriamente y abordar cualquier riesgo cibernético de terceros. Por ejemplo, es importante realizar evaluaciones periódicas o incluso auditorías de terceros. Además, debe prestarse atención periódica a los acuerdos con los proveedores.
Si se descubre que la seguridad de terceros es deficiente, las organizaciones deben tomar medidas al respecto, incluida la rescisión de una asociación si es necesario.
Tu historia:
A: No, se trata de un aviso por el que las autoridades emiten advertencias
B: Sí, hasta un máximo de 100.000 euros por incidente.
C: Sí, hasta un máximo de 1.000.000 de euros por incidente.
D: Sí, hasta un máximo de 10.000.000 de euros o el 2% de la facturación global anual.
Al igual que con el NIS, las autoridades pueden imponer multas por incumplimiento. La multa puede alcanzar un máximo de 10 millones de euros o el 2% de la facturación anual mundial. Lo que sea más elevado determina el importe de la multa.
Tu historia:
A: Las multas o sanciones pueden ser más bajas
B: Las organizaciones reciben una certificación
C: Estas medidas no tienen ninguna repercusión
Las autoridades deciden qué multas o sanciones imponer a las organizaciones infractoras.
Tu historia:
A: Una notificación inmediata en caso de violación de datos
B: Una notificación inmediata para cualquier incidente cibernético que afecte a las operaciones comerciales
C: Un informe final que describa el incidente, el tipo de amenaza, la gravedad y las consecuencias, y las medidas aplicadas y en curso.
D: Todas las anteriores
Las organizaciones deben informar inmediatamente de todos los incidentes cibernéticos que afecten a las operaciones empresariales, incluidas las violaciones de datos.
El Centro Nacional Cyber Security escribe: "La directiva NIS2 exige a las entidades que notifiquen los incidentes al regulador en un plazo de 24 horas. Se trata de incidentes que (pueden) interrumpir significativamente la prestación del servicio esencial. En el caso de un incidente cibernético, también debe notificarse al Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT)".
La obligación de informar implica dos informes:
Dependencia directa:
Las organizaciones deben realizar un informe lo antes posible con la información estrictamente necesaria, como qué ha ocurrido, cuál es la (posible) causa y qué acto ilegal o malintencionado ha tenido lugar. Las organizaciones harán el informe a la autoridad nacional competente o al Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT). La autoridad o el CSIRT responderán al informe en un plazo de 24 horas.
Notificación final:
En el plazo de un mes a partir de la notificación inicial, las organizaciones deben presentar un informe final. Dicho informe debe incluir lo siguiente
Tu historia:
A: octubre de 2023
B: marzo de 2024
C: octubre de 2024
En diciembre de 2022 se alcanzó un acuerdo a nivel europeo. Ese acuerdo entró en vigor un mes después. Desde entonces, los Estados miembros tienen 21 meses para transponer el NIS2 a la legislación nacional.
Esto significa que la NIS2 entrará en vigor en los Países Bajos a más tardar en octubre de 2024.
Tenga en cuenta que en los Países Bajos hablamos de NIB2 (Seguridad de las Redes y de la Información) en lugar de NIS2.