NIS-2 Y LA ENCRIPTACIón de
correo electrónico
En un mundo cada vez más interconectado en el que la comunicación digital desempeña un papel central, la protección de la información sensible es de vital importancia. La Directiva NIS 2 (Directiva de la UE sobre seguridad de las redes y de la información) se publicó en el Diario Oficial de la Unión Europea el 27 de diciembre de 2022 y los Estados miembros deben transponerla a su legislación nacional antes del 17 de octubre de 2024. [1]
Con su introducción se pretende reforzar las medidas contra las ciberamenazas y crear un marco jurídico europeo normalizado para el desarrollo en toda la UE de las capacidades nacionales en materia de seguridad informática, así como unos requisitos mínimos de seguridad y la obligación de informar sobre determinados servicios. El objetivo es establecer medidas normalizadas para lograr un alto nivel de seguridad de las redes y los sistemas de información en la UE (Art. 1 NIS-2). En comparación con la antigua Directiva NIS-1, se exigen normas de seguridad más estrictas, se ha ampliado el grupo de destinatarios y se han aumentado considerablemente las sanciones por incumplimiento hasta el nivel del GDPR de la UE (hasta la responsabilidad de la dirección con sus bienes privados).
El NIS-2 es asunto del jefe y de la «responsabilidad del jefe».
Aunque a primera vista las empresas no sientan que pertenecen al grupo objetivo, no deben dejarse llevar por una falsa sensación de seguridad. El Art. 21 II d NIS-2 estipula que todas las medidas de riesgo en el ámbito de la ciberseguridad deben incluir también «la seguridad de la cadena de suministro…». Los proveedores, por grandes que sean, se consideran vulnerabilidades potenciales y harían bien en adherirse a las normas de seguridad. Las empresas llevarán a cabo cada vez más una evaluación de riesgos a la hora de seleccionar a sus proveedores de servicios y regularán contractualmente la gestión de riesgos.
Una de las medidas fundamentales para cumplir estos requisitos es la encriptación de los correos electrónicos.
Los correos electrónicos siguen siendo uno de los medios de comunicación más utilizados en el entorno empresarial y, por tanto, el vector de ataque número uno. A menudo contienen información confidencial como estrategias empresariales, datos personales o detalles financieros. Los correos electrónicos no cifrados son vulnerables a los ataques, ya que pueden ser interceptados durante la transmisión y leídos por personas no autorizadas. Aquí es donde entra en juego la encriptación.
Al cifrar los correos electrónicos, el contenido se convierte en un código ilegible que sólo pueden descifrar los destinatarios autorizados. Esto garantiza que, incluso en caso de ataque o fuga de datos, no se revele ninguna información sensible. La directiva NIS-2 hace hincapié en la necesidad de este tipo de medidas de seguridad para garantizar la integridad y confidencialidad de la comunicación digital.
Aunque cabe suponer que la directiva no se transpondrá a la legislación alemana antes del 17 de octubre de 2024, las empresas que quieran cumplir los requisitos de la directiva NIS 2 deben integrar urgentemente la implementación del cifrado del correo electrónico en sus estrategias de seguridad. Esto no sólo protege los datos sensibles, sino que también refuerza la confianza de los clientes y socios en la seguridad de sus comunicaciones. En vista de las crecientes amenazas en el ciberespacio, el cifrado del correo electrónico es un elemento indispensable de la seguridad informática moderna.