Requisitos de ciberseguridad

Las entidades esenciales e importantes deben adoptar medidas técnicas, operativas y organizativas apropiadas y proporcionadas para gestionar los riesgos de ciberseguridad a los que se enfrentan y prevenir o minimizar el impacto de los incidentes en sus servicios y en los servicios de terceros.

Estas medidas se basarán en una planificación de todo riesgo orientada a la protección de la red y los sistemas de información y su entorno físico, incluyendo al menos las siguientes medidas:

1. Análisis de riesgos y procesos de seguridad del sistema.
2. Procedimientos de manejo de incidentes.
3. Continuidad del negocio, como gestión de copias de seguridad y recuperación ante desastres, y gestión de crisis.
4. Seguridad de la cadena de suministro
5. Proteger redes y sistemas de información, incluyendo la gestión y divulgación de vulnerabilidades.
6. Políticas y procedimientos para evaluar la eficacia de las medidas de gestión de riesgos de ciberseguridad.
7. Prácticas de ciberhigiene y capacitación en ciberseguridad
8. Seguridad de datos mediante criptografía y cifrado
9. Seguridad de recursos humanos, políticas de control de acceso y gestión de activos.
10. Identificación y autenticación mejoradas.