Boletín
Consejos exclusivos de experto, historias de clientes y más.
Ciberseguridad en CRITIS regulada por ley
Si las empresas pertenecen a las denominadas Infraestructuras Críticas (CRITIS), están reguladas por ley en materia de ciberseguridad, por ejemplo
- en la Unión Europea (UE) mediante una directiva obligatoria para garantizar un alto nivel de seguridad de las redes y de la información (directiva NIS 1 y NIS 2)
- en Alemania, por una ley nacional que transpone la directiva NIS de la UE a la legislación nacional.
Endurecimiento de las normas
En Alemania, esta ley se denomina "Ley de Seguridad Informática" (versión 2.0 desde 2022), que es una ley de artículos que modifica la "ley individual" pertinente para CRITIS, es decir, la Ley BSI, o BSIG para abreviar.
Con la Ley de Seguridad Informática 2.0 o la BSIG modificada, las obligaciones para los operadores CRITIS alemanes se han vuelto aún más estrictas. El grupo de empresas afectadas también ha aumentado debido a las nuevas definiciones y valores umbral.
En nuestra opinión, con la Ley de Seguridad Informática 2.0, Alemania, al igual que con la Directiva NIS 1, se ha "adelantado" a la Directiva NIS 2 en términos de contenido y tiempo. La estricta Ley de Seguridad Informática 2.0 debería haber aplicado ya gran parte de la nueva Directiva NIS 2. Las partes que faltan se transpondrían posiblemente a la nueva Directiva. Las partes que faltan se transpondrían posiblemente a la legislación nacional en una Ley de Seguridad Informática 3.0 o en la ley marco CRITIS prevista. El mismo escenario de aplicación se considera probable para la Directiva RCE de la UE sobre la resiliencia de las entidades críticas, la Directiva CER.
Tecnología punta requerida
Todas las normas sobre ciberseguridad de CRITIS consisten siempre en garantizar las precauciones organizativas y técnicas adecuadas para evitar interrupciones en la
- disponibilidad
- la integridad
- autenticidad
- y confidencialidad
de los sistemas, componentes o procesos de las tecnologías de la información. Éstos deben corresponder al estado actual de la técnica para alcanzar un alto nivel de seguridad de los sistemas de red y de información.
En Alemania: Declaración de garantía opcional por parte del fabricante / proveedor
En Alemania, desde 2022, además de los operadores CRITIS, los fabricantes y proveedores anteriores también deben presentar opcionalmente una declaración de garantía / control de fiabilidad para los componentes críticos de conformidad con el § 9b párrafo (3) BSIG.
La promesa de Dallmeier
Los productos y soluciones de Dallmeier cuentan con el más alto nivel de precauciones técnicas y funciones que permiten a los clientes y operadoras CRITIS implementar soluciones de videoseguridad conformes con la ciberseguridad.
Dallmeier es sinónimo del más alto nivel de seguridad en términos de ley y cumplimiento, protección de datos y ciberseguridad:
- made in Europe, made in Germany
- conforme con el RGPD
- compatible con normativas de ciberseguridad de toda la UE, como la Directiva NIS de la UE, o nacionales, como la Ley alemana de seguridad informática 2.0 / BSIG
NIS2 individual requirements
Mirrored in Dallmeier ISO 27001 processes
| NIS2 requirement | NIS2 Directive (EU) | NIS2 Implementation Act / BSIG (Germany) | Dallmeier ISO 27001 | Dallmeier as upstream supplier/manufacturer |
|---|---|---|---|---|
| State of the art | Article 21 (1),EG 85 | § 30 | ISO 27001 = technology-neutral ISO as the basis for state-of-the-art IT security (TeleTrust guideline) + state-of-the-art video surveillance technology + note (*): Dallmeier complies | ✓ |
| Security by Design | Article 21 (2) e) | § 30 | A.5.20, A.5.24, A.5.36, 5.37, A.6.08, A.8.09, A.8.19, A.8.20, A.8.21 | ✓ |
| Supply chain security | Article 21 (2) d),Article 21 (3) | § 30 | A.5.19, A.5.20, A.5.21, A.5.22, A.5.23 | ✓ |
| Integration chain security | Article 21 (2) d) and e) | § 30 | A.5.19, A.5.20, A.5.21, A.5.22, A.5.23 | ✓ |
| Regular updates and patches | Article 21 (2) e) and g) | § 30 | A.5.35, A.5.36, A.5.07, A.5.24, A.5.25, A.5.26, A.5.27, A.5.28, A.6.08, A.8.16 | ✓ |
| Authentication and authorization | Article 21 (2) i) and j) | § 30 | A.5.12, A.5.13, A.5.14, A.5.15, A.5.16, A.5.17, A.5.18, A.8.01, A.8.02, A.8.03 | ✓ |
| Cryptography and data encryption | Article 21 (2) f) | § 30 | A.8.20, A.8.21, A.8.22, A.8.24 | ✓ |
| Reporting and vulnerability management | Article 21 (2) e) | § 30 | A.5.07, A.5.24, A.5.25, A.5.26, A.5.27, A.5.28, A.6.08, A8.07, A8.08, A8.15, A8.16 | ✓ |
| Data protection through IT security | Derivation from Article 20, Article 21 (1), Article 23 (4), EG 14 and 51 | § 30 | in particular: A.5.34 Privacy and protection of personal information (PII) | ✓ |
| Training and awareness measures | Article 20 (1) and (2), Article 21 (2) d) and g); EG 88 and 89 | § 30 | A.5.1, A. 5.2, A.5.3, A.6.3, A. 5.23, A.5.28 | ✓ |
Benefits for NIS2 customers
- Cyber resilience along the entire supply chain
- Proof of NIS2 compliance to regulatory authorities
- Avoidance of downtime costs through stable business continuity
- Avoiding fines for the institution
- Avoiding personal liability for management
(*)
There is no provision in ISO 27001 or in any law that states in a general and binding manner: “Anyone who complies with ISO 27001 automatically complies with the state of the art.”
Why not?
- ISO 27001 is an international management standard for information security management systems (ISMS).
- It defines processes and controls, but it is technology-neutral and does not specify which specific security measures are “state of the art.”
Where does the reference to ISO 27001 ↔ “state of the art” come from?
- Authorities such as the BSI or data protection supervisory authorities often say:
The introduction of an ISMS in accordance with ISO 27001 supports compliance with the state of the art because the standard systematically records security risks and selects appropriate measures. - In practice, ISO 27001 is often accepted as proof that an organization works in a state-of-the-art manner in terms of organization and processes.
- ISO 27001 alone = a good foundation, but does not automatically fulfill “state of the art.”
- Combination of ISO 27001 + current technical security standards = strong evidence.
Más información
Directiva de ciberseguridad NIS 2 de la UE en vigor desde noviembre de 2022:
- Parlamento de la UE en línea: El Parlamento y el Consejo de la UE aprobaron el proyecto NIS 2 en noviembre de 2022
- Documento oficial: Alto nivel común de ciberseguridad en la Unión (P9_TA(2022)0383)
Directiva de la UE sobre la resiliencia de infraestructuras críticas en vigor desde noviembre de 2022:
Nuestra experiencia en CRITIS y nuestra principal competencia: la tecnología de vídeo
A continuación, nos gustaría facilitarle tres informaciones en nuestro propio nombre y para su proyecto de vídeo CRITIS:
Info 1 / Top Tip: Guía práctica de tecnología de vídeo CRITIS
- La guía práctica de tecnología de vídeo CRITIS de Dallmeier ofrece una visión general para los responsables de seguridad (de momento sólo en alemán)
- 80 páginas de orientación para los responsables de la toma de decisiones sobre el tema de la tecnología de vídeo.
- Solicite aquí su ejemplar personal
Info 2 / Blog post "El marco normativo de la UE para Infraestructuras Críticas y otros sectores clave".
- Qué aportarán las Directivas NIS 2 y RCE/CER de la UE
Info 3 / Blog post " Piedras angulares de la ley paraguas CRITIS".
- La seguridad física y su regulación en el punto de mira