Certificados TLS de servidor
Tráfico web seguro a gran escala
Inventario de certificados
Descubrir y rastrear todos los certificados
Certificados DevOps
Automatizar para pipelines CI/CD
Cifrado de correo electrónico
S/MIME para correo electrónico empresarial
La directiva de ciberseguridad reforzada de la UE' que impone obligaciones de gestión de riesgos y reporte de incidentes a entidades esenciales e importantes, con un alcance ampliado que cubre 18 sectores críticos.
El Directiva NIS2 (Directiva 2022/2555) amplía enormemente las obligaciones de ciberseguridad en toda la Unión Europea. El artículo 21 exige explícitamente "criptografía y cifrado" como medida de seguridad básica, convirtiendo la gestión de certificados y claves en un imperativo regulatorio más que una buena práctica.
La directiva se aplica a aproximadamente 160,000 entidades en 18 sectores críticos, incluidos energía, transporte, banca, salud, infraestructura digital, administración pública y más. Las organizaciones deben implementar medidas integrales de gestión de riesgos, informar incidentes significativos dentro de 24 horas y garantizar la seguridad de la cadena de suministro.
NIS2 introduce responsabilidad de gestión — el liderazgo senior debe aprobar y supervisar las medidas de ciberseguridad, y puede ser responsable personalmente de los fallos. Con multas que pueden alcanzar hasta 10 millones de euros o el 2 % de la facturación anual global, los riesgos por incumplimiento son significativos.
Las entidades deben implementar medidas técnicas, operativas y organizativas apropiadas y proporcionales para gestionar los riesgos de ciberseguridad en sus redes y sistemas de información.
El artículo 21(2)(h) exige explícitamente el uso de criptografía y, cuando sea apropiado, el cifrado como medida básica de ciberseguridad para todas las entidades esenciales e importantes.
Los incidentes significativos deben ser reportados al CSIRT dentro de 24 horas (alerta temprana), con una notificación completa dentro de 72 horas y un informe final dentro de un mes.
Las organizaciones deben abordar los riesgos de ciberseguridad en sus cadenas de suministro y relaciones con proveedores, incluidos los requisitos de seguridad para proveedores directos y prestadores de servicios.
Los órganos de gestión deben aprobar las medidas de gestión de riesgos de ciberseguridad, supervisar su implementación y pueden ser responsables personalmente por infracciones.
Las entidades deben implementar planes de continuidad del negocio, procedimientos de recuperación ante desastres y protocolos de gestión de crisis para garantizar la resiliencia frente a incidentes de ciberseguridad.
La Comisión Europea propone NIS2 en diciembre de 2020 para reemplazar la Directiva NIS original y ampliar significativamente su alcance y poderes de aplicación.
La Directiva (UE) 2022/2555 se adopta formalmente en diciembre de 2022, estableciendo requisitos de ciberseguridad armonizados en 18 sectores críticos.
Los Estados miembros deben transponer la NIS2 a la legislación nacional antes del 17 de octubre de 2024. Las entidades deben comenzar a cumplir con las nuevas obligaciones.
Las entidades esenciales e importantes se registran ante las autoridades nacionales. Las primeras auditorías de cumplimiento y acciones de supervisión comienzan en todos los Estados miembros.
Régimen de aplicación completa con sanciones de hasta 10 millones de euros o el 2 % de la facturación anual global, lo que sea mayor, para organizaciones no cumplidoras.
Con la criptografía y el cifrado exigidos explícitamente bajo el Artículo 21, NIS2 sitúa la PKI y la gestión de certificados en el centro del cumplimiento. A continuación, las áreas críticas:
El requisito explícito de criptografía implica que las organizaciones deben garantizar una cobertura integral de TLS/certificados en todos los sistemas, incluidas las comunicaciones internas y los datos en reposo.
Los certificados caducados, mal configurados o débiles representan riesgos de ciberseguridad. La gestión adecuada del ciclo de vida de los certificados es ahora una medida demostrable de gestión de riesgos bajo NIS2.
Los requisitos de seguridad de la cadena de suministro se extienden a la validación de certificados — TLS mutuo para comunicaciones entre socios, verificación de certificados de firma de código y evaluaciones de postura de certificados de proveedores.
Los compromisos de certificados (filtraciones de claves privadas, violaciones de CA) son incidentes que deben reportarse. Las organizaciones necesitan capacidades de revocación rápidas y procedimientos claros de respuesta a incidentes para eventos de PKI.
Inventario completo de certificados — Horizon descubre e inventariza todos los certificados de su infraestructura, proporcionando la evaluación de postura de cifrado que exige el artículo 21 de NIS2.
Renovación automática previene interrupciones — La renovación automática de certificados elimina interrupciones relacionadas con la expiración, lo que bajo NIS2 podría desencadenar obligaciones de reporte de incidentes y responsabilidad de gestión.
Aplicación de políticas para estándares criptográficos — Aplicar tamaños mínimos de clave, algoritmos aprobados y configuraciones de certificados en toda su organización para cumplir con los requisitos criptográficos de NIS2.
Monitoreo y alerta en tiempo real — Detectar anomalías de certificados, emisiones no autorizadas y expiraciones próximas en tiempo real para apoyar los requisitos de detección de incidentes de NIS2.
