Con la próxima aplicación de la Directiva SRI 2 en Europa, los operadores de servicios esenciales (OSE) y los operadores de vital importancia (OVI) se preparan para nuevas obligaciones de refuerzo su ciberseguridad.
Una nueva denominación para los OSE
La creación de entidades esenciales (EE) y entidades importantes (EI)
El principal objetivo de esta modificación de la Directiva SRI 1 es maximizar la seguridad de las redes y de los sistemas de información de las organizaciones europeas sensibles. Uno de los cambios es el fin del término OSE (operador de servicios esenciales). Este se refería antes a los servicios esenciales cuya interrupción podía tener un impacto importante en el funcionamiento de la economía o de la sociedad francesa.
La Directiva SRI 2 suprime el término «OSE» en favor de dos categorías de entidades:
- Las entidades esenciales (EE), que agruparían principalmente a las grandes empresas en los sectores clasificados como de alta criticidad.
- Las entidades importantes (EI), que afectarían principalmente a organizaciones de tamaño medio de los sectores clasificados como de alta criticidad y a las organizaciones de otros sectores críticos.
Los «proveedores de servicio digital» también se dividen en estas categorías. Cabe señalar que la denominación OVI (operadores de vital importancia) no se modifica. Estos últimos se ven afectados por la Directiva SRI 2.
Más información sobre los sectores de alta criticidad y otros sectores críticos
Obligaciones para las entidades esenciales, entidades importantes y OVI
Recurrir a soluciones de seguridad certificadas por la ANSSI
Entre las medidas de seguridad recomendadas por la Directiva SRI 2, se encuentran «el uso de comunicaciones de voz, vídeo y texto seguras y sistemas seguros de comunicaciones de emergencia en la entidad, cuando proceda». Para los OIV, el uso de soluciones de seguridad certificadas por la Agencia Nacional de Seguridad de los Sistemas de Información (ANSSI) de Francia, gracias a su Visado de Seguridad, se está convirtiendo incluso en obligatorio. En caso de crisis, los operadores de vital importancia deben reaccionar con rapidez y demostrar capacidad de recuperación. Por tanto, las soluciones de comunicaciones seguras son esenciales para que los empleados puedan seguir trabajando. Por ello, se recomiendan diferentes tecnologías, como el cifrado de extremo a extremo.
Visado de seguridad ANSSI: una garantía de fiabilidad
El Visado de seguridad de la ANSSI permite identificar las soluciones de ciberseguridad más fiables, que han sido verificadas y evaluadas por laboratorios homologados.
Desde hace más de 5 años, Tixeo es la única solución de videoconferencia segura en Francia certificada y acreditada por la ANSSI, gracias en particular a su enfoque Secure By Design y a su tecnología de cifrado de extremo a extremo.
Proteger la arquitectura de red
La Directiva SRI 2 recomienda la compartimentación de las redes y los accesos remotos, sobre todo cuando se utilizan soluciones de seguridad en sus instalaciones. Estas soluciones deben poder funcionar en una red aislada, y la organización debe ser consciente de todas sus repercusiones en su arquitectura de red.
Los beneficios de la videoconferencia segura en sus instalaciones
TixeoServer es la solución segura de videoconferencia in situ de Tixeo, certificada y acreditada por la ’ANSSI. La seguridad forma parte de todas las etapas desde el diseño hasta el despliegue, con un enfoque Secure by Design. Por ejemplo, solo es necesario abrir un puerto de red para la instalación, a fin de limitar el impacto en la política de seguridad del sistema de información de la organización.
Recurrir a subcontratistas y proveedores de servicios seguros
También se presta especial atención a los agentes de la cadena de suministro, ya sean subcontratistas o proveedores de servicios. Estos últimos suelen beneficiarse del acceso a la infraestructura de sus clientes y, por tanto, representan un riesgo para la seguridad. Y por ello, en caso de fallos de seguridad en su infraestructura, esto puede tener consecuencias para la seguridad de la red de las entidades más o menos críticas para las que trabajan. Por eso también están sujetos a la Directiva SRI 2.
Todo lo que debe saber sobre la Directiva SRI 2:
