La Directiva NIS2 <https://eur-lex.europa.eu/eli/dir/2022/2555/oj>`__ establece la legislación de la UE en materia de ciberseguridad. NIS2 anima a los Estados miembros de la UE a introducir las prácticas recomendadas en materia de ciberseguridad y hacer frente a la creciente avalancha de ciberataques. NIS2 es una actualización de la anterior Directiva sobre la seguridad de las redes y de la información (NIS).

Si desea ofrecer hosting DNS basado en Plesk y sus posibles clientes son entidades esenciales o importantes (por ejemplo, empresas de los sectores de la energía, el transporte o la sanidad), su Plesk deberá cumplir con NIS2.

Para que su Plesk cumpla con NIS2:

1. Active el modo de compatibilidad NIS2 añadiendo las siguientes líneas al archivo panel.ini:

   [actionLog]
   nis2compliant = true
   

   Este modo hace imposible desactivar el registro de cambios relacionados con DNS y la autenticación (por ejemplo, los inicios de sesión fallidos y correctos) e impide la eliminación completa de los eventos del Registro de acciones.

2. En el modo de compatibilidad NIS2, Plesk registra peticiones de API que cambian su configuración. Sin embargo, Plesk también puede registrar peticiones de API que no cambian los datos (por ejemplo, peticiones GET). Para activar esto, añada las siguientes líneas al archivo panel.ini:

   [actionLog]
   api.includeImmutable = true
   

3. Asegúrese de que su servidor Plesk tenga la configuración de fecha y hora correcta y que esté sincronizada con una única fuente horaria de referencia. Le recomendamos que utilice la extensión NTP Timesync para controlar y gestionar la configuración relacionada con la hora.

4. Check that necessary accounts are protected by multi-factor authentication (MFA). We recommend that you use the Multi-Factor Authentication (MFA) extension.

5. Desactive todas las conexiones a través de la API de Plesk añadiendo las siguientes líneas al archivo panel.ini:

   [api]
   enabled = false
   

   Esto impide gestionar Plesk sin MFA (por ejemplo, la aplicación Plesk Mobile puede omitir MFA).

   Si necesita proporcionar acceso a la API de Plesk, le recomendamos que lo haga únicamente desde direcciones IP específicas, por ejemplo:

   [api]
   allowedIPs = 192.0.2.1,192.0.2.100
   

   Para obtener más información, consulte Restricción de acceso remoto mediante la API de Plesk.

6. Asegúrese de que Plesk utilice contraseñas seguras. Para obtener más información, consulte Establecimiento de la directiva de seguridad de las contraseñas.

7. Asegúrese de que Fail2Ban está habilitado y que los jails preconfigurados ssh y plesk-panel están activos. De esta manera, Fail2Ban está configurado para monitorizar los registros del sistema en busca de ataques de fuerza bruta.

8. Ofrezca a sus clientes la posibilidad de firmar la zona DNS con DNSSEC. Para ello, utilice la extensión DNSSEC (es gratuita en las ediciones Web Pro y Web Host).

9. Asegúrese de que está instalada la extensión Log Browser versión 1.7.0 o posterior. Esta extensión permite monitorizar eventos relacionados con DNS y la autenticación al administrador, los revendedores y los clientes de Plesk.

10. Para proteger los registros de Plesk contra modificaciones no autorizadas, redireccione una copia de los registros al servidor de registros externo e independiente de Plesk.

    Nota: Plesk copia los registros del Registro de acciones, pero no los sobrescribe cuando se restaura un backup. Los registros del Registro de acciones se guardan en archivos independientes con el prefijo backup_action-log (por ejemplo, backup_action-log_2403281045.tzst (.zip)). Los archivos del administrador de Plesk contienen todos los registros, mientras que los archivos de clientes y revendedores únicamente contienen registros que les son pertinentes. Aprenda a extraer archivos del Registro de acciones de un backup de Plesk.