¿Qué falla en el cumplimiento de la norma NIS 2 y cómo solucionarlo?

Una mentalidad de "una sola vez" no es la adecuada para el cumplimiento normativo, sino todo lo contrario. La mayoría de las regulaciones globales exigen mejoras continuas, monitoreo, auditorías y evaluaciones periódicas. La directiva NIS 2 de la UE no es la excepción.

Es por eso que muchos CISO y líderes de cumplimiento encontrarán interesante la lectura del último informe de la Agencia de Seguridad de la UE (ENISA). ENISA NIS360 2024 Se describen seis sectores con dificultades para el cumplimiento normativo y se explican las razones, a la vez que se destaca cómo las organizaciones más consolidadas están liderando el camino. La buena noticia es que las organizaciones ya certificadas según la norma ISO 27001 descubrirán que superar las deficiencias en el cumplimiento de la norma NIS 2 es relativamente sencillo.

Novedades de NIS 2

La NIS 2 es el intento de la UE de actualizar su emblemática ley de resiliencia digital para la era moderna. los esfuerzos se centran en:

• Ampliar el número de sectores cubiertos por la directiva
• Introducción de requisitos básicos de ciberseguridad más concretos
• Reducir las inconsistencias en los niveles de resiliencia entre diferentes sectores
• Mejorar el intercambio de información, la respuesta a incidentes y la gestión de riesgos de la cadena de suministro
• Hacer que la alta dirección rinda cuentas por cualquier fallo grave

Las organizaciones del Reino Unido obtendrán su propia versión actualizada de la Directiva original sobre redes y sistemas de información (NIS) cuando Proyecto de ley sobre ciberseguridad y resiliencia Finalmente se convierte en ley. Sin embargo, muchos prestan servicios a ciudadanos europeos o operan en el continente, lo que significa que quedan dentro del ámbito de aplicación del NIS 2. Para estas organizaciones, el NIS360 puede ser una lectura útil.

¿Qué sectores están en dificultades?

De los 22 sectores y subsectores estudiados en el informe, seis se encuentran en la "zona de riesgo" en cuanto a cumplimiento; es decir, su nivel de madurez en cuanto a riesgo no se corresponde con su criticidad. Estos son:

Gestión de servicios TIC: Si bien apoya a las organizaciones de forma similar a otras infraestructuras digitales, la madurez del sector es menor. ENISA señala su falta de procesos estandarizados, consistencia y recursos para mantenerse al día con las operaciones digitales cada vez más complejas que debe respaldar. La escasa colaboración entre actores transfronterizos agrava el problema, al igual que el desconocimiento del sector por parte de las autoridades competentes (AC).

ENISA insta a una cooperación más estrecha entre las autoridades competentes y a una supervisión transfronteriza armonizada, entre otras cosas.

Espacio: El sector es cada vez más crucial para facilitar una gama de servicios, como el acceso a telefonía e internet, las transmisiones de televisión y radio por satélite, la monitorización de recursos hídricos y terrestres, la agricultura de precisión, la teledetección, la gestión de infraestructuras remotas y el seguimiento de paquetes logísticos. Sin embargo, al ser un sector recientemente regulado, el informe señala que aún se encuentra en las primeras etapas de su adaptación a los requisitos de la NIS 2. La gran dependencia de productos comerciales listos para usar (COTS), la limitada inversión en ciberseguridad y una estrategia de intercambio de información relativamente inmadura agravan los desafíos.

ENISA insta a prestar mayor atención a la concienciación sobre la seguridad, a mejorar las directrices para probar los componentes COTS antes de su implementación y a promover la colaboración dentro del sector y con otros sectores verticales como las telecomunicaciones.

Administraciones públicas: Este es uno de los sectores menos maduros, a pesar de su papel vital en la prestación de servicios públicos. Según ENISA, no se comprenden completamente los riesgos y amenazas cibernéticas a los que se enfrenta, ni siquiera el alcance de NIS 2. Sin embargo, sigue siendo un objetivo importante para hacktivistas y actores de amenazas respaldados por Estados.

ENISA recomienda un modelo de servicio compartido con otras entidades públicas para optimizar recursos y mejorar las capacidades de seguridad. También anima a las administraciones públicas a modernizar los sistemas heredados, invertir en formación y utilizar la Ley de Cibersolidaridad de la UE para obtener apoyo financiero que mejore la detección, la respuesta y la remediación.

Marítimo: Esencial para la economía (gestiona el 68% del transporte de mercancías) y muy dependiente de la tecnología, el sector se enfrenta al desafío de una tecnología obsoleta, especialmente la OT.

ENISA afirma que podría beneficiarse de una guía personalizada para implementar controles sólidos de gestión de riesgos de ciberseguridad, priorizando los principios de seguridad desde el diseño y la gestión proactiva de vulnerabilidades en la tecnología operativa marítima. Solicita un ejercicio de ciberseguridad a nivel de la UE para mejorar la respuesta a crisis multimodales.

Salud: El sector es vital, ya que representa el 7 % de las empresas y el 8 % del empleo en la UE. La sensibilidad de los datos de los pacientes y el impacto potencialmente fatal de las ciberamenazas hacen que la respuesta a incidentes sea crucial. Sin embargo, la diversidad de organizaciones, dispositivos y tecnologías dentro del sector, la escasez de recursos y las prácticas obsoletas hacen que muchos proveedores tengan dificultades para ir más allá de la seguridad básica. Las complejas cadenas de suministro y las tecnologías de la información/operaciones operativas heredadas agravan el problema.

ENISA quiere ver más directrices sobre adquisiciones seguras y mejores prácticas de seguridad, programas de capacitación y concientización del personal, y más compromiso con los marcos de colaboración para desarrollar la detección y respuesta ante amenazas.

Gas: El sector es vulnerable a ataques debido a su dependencia de los sistemas informáticos para el control y la interconexión con otras industrias, como la eléctrica y la manufacturera. ENISA afirma que la preparación y respuesta ante incidentes son particularmente deficientes, sobre todo en comparación con sus homólogos del sector eléctrico.

El sector debería desarrollar planes de respuesta a incidentes sólidos y probados periódicamente y mejorar la colaboración con los sectores eléctrico y manufacturero en materia de ciberdefensa coordinada, mejores prácticas compartidas y ejercicios conjuntos.

¿Qué están haciendo bien los líderes?

Según ENISA, los sectores con mayor nivel de madurez destacan por varias razones:

• Orientación más sustancial en materia de ciberseguridad, que podría incluir legislación o normas específicas del sector
• Mayor supervisión y apoyo por parte de las autoridades de la UE familiarizadas con el sector y sus desafíos
• Una comprensión más profunda del riesgo y una gestión del riesgo más eficaz
• Mayor colaboración e intercambio de información entre entidades y autoridades a nivel nacional y de la UE
• Una preparación operativa más madura mediante planes bien probados

Cómo tener éxito con el cumplimiento de NIS 2

Cabe recordar que no hay dos organizaciones iguales en un sector específico. Sin embargo, las conclusiones del informe son ilustrativas. Y si bien parte de la responsabilidad de mejorar el cumplimiento recae sobre las autoridades competentes (mejorar la supervisión, la orientación y el apoyo), gran parte de ello consiste en adoptar un enfoque basado en el riesgo en materia cibernética. Aquí es donde normas como la ISO 27001 cobran relevancia, añadiendo detalles que la NIS 2 podría carecer, según Jamie Boote, consultor principal asociado de seguridad de software en Pato negro:

“La NIS 2 fue escrita a un alto nivel porque tenía que aplicarse a una amplia gama de empresas e industrias y, como tal, no podía incluir una guía prescriptiva personalizada más allá de informar a las empresas sobre lo que tenían que cumplir”, explica a ISMS.online.

Si bien la NIS 2 indica a las empresas que deben contar con "gestión de incidentes" o "prácticas básicas de ciberhigiene y capacitación en ciberseguridad", no les indica cómo desarrollar dichos programas, redactar la política, capacitar al personal ni proporcionar las herramientas adecuadas. Incorporar marcos que detallen cómo gestionar incidentes o la seguridad de la cadena de suministro es fundamental para desglosar esas declaraciones de política en todos los elementos que conforman el personal, los procesos y la tecnología de un programa de ciberseguridad.

Chris Henderson, director senior de operaciones de amenazas en Huntress, coincide en que existe una superposición significativa entre NIS 2 e ISO 27001.

“La norma ISO 27001 abarca muchas de las mismas obligaciones de gobernanza, gestión de riesgos y presentación de informes que exige la norma NIS 2. Si una organización ya ha obtenido la norma ISO 27001, está bien posicionada para cubrir también los controles de la NIS 2”, explica a ISMS.online. “Un área que deberán mejorar es la gestión de crisis, ya que no existe un control equivalente a la ISO 27001. Las obligaciones de presentación de informes de la NIS 2 también tienen requisitos específicos que no se cumplirán de inmediato con la implementación de la ISO 27001”.

Insta a las organizaciones a comenzar por probar los elementos de política obligatorios del NIS 2 y a asignarlos a los controles del marco/estándar elegido (por ejemplo, ISO 27001).

“También es importante comprender las lagunas del propio marco, ya que no todos pueden ofrecer una cobertura completa de una regulación, y si quedan declaraciones regulatorias sin mapear, puede ser necesario agregar un marco adicional”, agrega.

Dicho esto, el cumplimiento puede ser una tarea importante.

Los marcos de cumplimiento como NIS 2 e ISO 27001 son amplios y requieren mucho trabajo para lograrlos, afirma Henderson. «Si se construye un programa de seguridad desde cero, es fácil caer en la parálisis del análisis al intentar saber por dónde empezar».

Aquí es donde entran en juego las soluciones de terceros, que ya han realizado el trabajo de mapeo para producir un Guía de cumplimiento preparada para NIS 2, poder ayudar.

Morten Mjels, director ejecutivo de Green Raven Limited, estima que el cumplimiento de la norma ISO 27001 permitirá a las organizaciones completar aproximadamente el 75 % del proceso para alinearse con los requisitos de NIS 2.

“El cumplimiento normativo es una batalla constante con un gigante (el regulador) que nunca se cansa, nunca se rinde y nunca cede”, explica a ISMS.online. “Por eso, las grandes empresas tienen departamentos enteros dedicados a garantizar el cumplimiento normativo en todos los ámbitos. Si su empresa no se encuentra en esa posición, vale la pena consultar con uno”.

Consulte este seminario web para obtener más información sobre cómo la norma ISO 27001 puede ayudar en la práctica con el cumplimiento de NIS 2.