Queda poco más de un mes para que los países y las empresas europeas se preparen para la aplicación de la segunda iteración de la Directiva sobre redes y sistemas de información (NIS) de la Unión Europea.
La ley, cuya aplicación está prevista para el 17 de octubre de 2024, tiene como objetivo mejorar la capacidad de cada estado miembro de la UE para hacer frente a los delitos cibernéticos, facilitar el intercambio y la cooperación en materia de inteligencia cibernética a nivel de bloque y garantizar que las empresas de sectores críticos se tomen en serio la ciberseguridad. Pero, ¿qué significa esto en la práctica?
Un enfoque más amplio para la gestión de riesgos de ciberseguridad
Cuando la UE introdujo la Directiva NIS original en 2016, su objetivo era reforzar la ciberseguridad de la infraestructura crítica en todo el bloque político.
Sin embargo, reconociendo que las amenazas a la ciberseguridad han aumentado drásticamente en los últimos años y ahora afectan prácticamente a todas las industrias, los legisladores europeos han ampliado el alcance de los requisitos NIS en la segunda versión de la directiva.
NIS2 cubre una gama más amplia de industrias (incluida la producción de alimentos, la gestión de residuos, los servicios postales, la investigación, la fabricación, la industria aeroespacial, la administración pública y muchas otras) y considera el riesgo de seguridad de la cadena de suministro creado por los proveedores de servicios digitales.
Divide los sectores en dos áreas: esenciales e importantes. La etiqueta “esencial” describe industrias altamente críticas como la energía y los servicios financieros, descritas previamente en la NIS1. Estas organizaciones emplearán a más de 250 personas y generarán ingresos de más de 50 millones de euros al año.
Por otra parte, la categoría “importante” abarca una serie adicional de sectores vitales, como los servicios postales y de mensajería y las organizaciones de investigación. Las empresas de esta categoría suelen ser de tamaño mediano, emplean a más de 50 personas y generan unos ingresos anuales de más de 10 millones de euros.
En virtud de esta ley, los Estados miembros de la UE también deben asegurarse de estar preparados para gestionar incidentes graves de ciberseguridad. En concreto, deben establecer equipos de respuesta a incidentes cibernéticos y una autoridad nacional de redes y sistemas de información (NIS). A través del Grupo de Cooperación NIS, la directiva pretende mejorar la colaboración y el intercambio de información entre los Estados miembros en materia de ciberseguridad.
Nick Palmer, ingeniero de soluciones de la plataforma de inteligencia de amenazas Censys, describe la NIS 2 como una versión mejorada de la NIS 1 que tiene como objetivo mejorar la ciberseguridad colectiva de todos los estados miembros de la UE. En declaraciones a ISMS.online, Palmer afirma: “Está diseñada para abordar algunas lagunas y desajustes que salieron a la luz con las normas originales. A medida que nuestro mundo digital crece y las ciberamenazas se vuelven más sofisticadas, la UE se dio cuenta de que necesitaba reforzar sus defensas”.
Como parte de un enfoque de ciberseguridad más integral en toda la UE, Ed Parsons, vicepresidente de mercados globales y relaciones con los miembros de la organización sin fines de lucro ISC2, explica que incluye la gestión de riesgos, la responsabilidad corporativa, la notificación de incidentes y los requisitos de planificación de la continuidad empresarial. Afirma: “Las prácticas de seguridad clave exigidas por NIS 2 incluyen la seguridad de la cadena de suministro, la protección de la red, el cifrado, la autenticación multifactor, la gestión de vulnerabilidades y la formación en ciberseguridad”.
Por qué el cumplimiento normativo es primordial
Debido a que las amenazas a la ciberseguridad están aumentando rápidamente en volumen y sofisticación en todo el mundo, algunos expertos creen que cumplir con la norma NIS 2 es lo mejor para las empresas de todas las industrias.
Dave Joyce, director ejecutivo del proveedor de software de recuperación de datos Macrium, afirma que su enfoque de resiliencia cibernética intersectorial parece genuino a la luz del complejo panorama de amenazas en línea actual. Se siente particularmente alentado por su "enfoque integral de la ciberseguridad" en el panorama corporativo, y agrega que no se centra solo en "amenazas conocidas".
“NIS 2 hace hincapié en proteger toda la cadena de suministro y considerar cuidadosamente cómo los proveedores manejan los datos, una preocupación resaltada por incidentes como la violación de CrowdStrike, que expuso brechas en las prácticas de recuperación ante desastres”, explica Joyce.
Joyce afirma que el cumplimiento normativo es la clave para mantener la continuidad del negocio, la confianza de los clientes y el acceso al mercado de la UE, así como para evitar multas de hasta 10 millones de euros o el 2 % de los ingresos internacionales anuales. Y añade: “En última instancia, el cumplimiento de la NIS 2 fomenta un entorno digital más seguro y contribuye a un ecosistema cibernético global más seguro”.
Palmer, de Censys, es otro firme defensor de la directiva NIS 2 y de su impacto positivo en el panorama empresarial europeo. Señala que el cumplimiento de estos estrictos requisitos reducirá las posibilidades de que las empresas sean víctimas de delitos informáticos y las consecuencias que se derivarían de ellos, como la interrupción de las operaciones, el daño a la reputación y las pérdidas financieras.
“El cumplimiento normativo también desempeña un papel fundamental a la hora de generar y mantener la confianza de los clientes, socios y partes interesadas, ya que demuestra un compromiso con la seguridad de los datos y la resiliencia operativa”, afirma. “En el competitivo mercado de la UE, el incumplimiento podría dar lugar a la exclusión de oportunidades lucrativas o la pérdida de contratos frente a competidores más cumplidores”.
Mientras tanto, Parsons de ISC2 sostiene que la adhesión a NIS 2 preparará mejor a las empresas para lidiar con las ciberamenazas emergentes, aumentará su comprensión general de los incidentes de ciberseguridad y cómo pueden afectar las operaciones diarias, y les ayudará a establecer un proceso perfecto para responder y reportar amenazas.
Cómo se aplica el NIS2 a las organizaciones del Reino Unido
Aunque el Reino Unido ha abandonado la UE, la directiva NIS 2 seguirá afectando a muchas empresas británicas. Según Ann Keefe, directora regional para el Reino Unido e Irlanda de la empresa de TI Kingston Technology, esto incluye a las empresas con sede en el Reino Unido que comercian con los estados miembros de la UE. Ella afirma que deben cumplir los requisitos de la NIS 2 si "no quieren que los reguladores de la UE les pillen desprevenidos".
Sin embargo, incluso si una empresa británica no tiene intereses comerciales en la UE, seguir los requisitos integrales de NIS 2 podría ser lo mejor para ella. Rob O'Connor, director de tecnología y CISO de EMEA en la empresa tecnológica global Insight, señala que el próximo proyecto de ley de ciberseguridad y resiliencia del Reino Unido tendrá algunas similitudes con NIS 2. Sugiere que adoptar las normas NIS 2 podría ser una forma "rentable" de abordar los crecientes riesgos de ciberseguridad.
Palmer de Censys dice que las organizaciones del Reino Unido afectadas por los requisitos de informes y gestión de riesgos de seguridad NIS 2 necesitarán implementar medidas de ciberseguridad sofisticadas, realizar evaluaciones de riesgos periódicas y garantizar la seguridad de sus cadenas de suministro.
“Deben informar a las autoridades de la UE sobre incidentes de seguridad importantes en plazos estrictos, cooperar durante las investigaciones y es posible que deban designar un representante de la UE para gestionar las comunicaciones reglamentarias”, afirma. “Los contratos con clientes de la UE deben incluir cláusulas de cumplimiento de NIS 2, que garanticen que la organización cumple con las obligaciones legales y se protege contra las amenazas cibernéticas”.
Preparación para el NIS 2
La fecha límite para cumplir con la NIS 2 se acerca rápidamente y las empresas que aún no han comenzado a prepararse para su llegada deben hacerlo ahora. Pero, ¿qué pasos implica esto? Según Parsons de ISC2, el primer paso es determinar si una empresa debe cumplir con la NIS 2 por sí misma o si la ley se aplica a sus proveedores.
Para ello, dice que deben evaluar si la empresa opera en un sector “esencial” o “importante” según las definiciones del NIS. Parsons añade que las empresas sujetas a las directivas del NIS deben identificar y mitigar los riesgos de ciberseguridad como parte de una evaluación de riesgos de amplio alcance.
“En función de la evaluación de riesgos, se deben implementar medidas técnicas y organizativas adecuadas. Las empresas deben prepararse para los incidentes creando planes de respuesta y procesos para informar de los incidentes importantes a las autoridades pertinentes”, afirma.
Haciendo eco de pensamientos similares, Joyce de Macrium insta a las empresas a evaluar su postura cibernética y preguntarse si actualmente tienen los medios para recuperarse de un incidente lo más rápido posible.
En caso contrario, recomienda implementar un plan de recuperación de incidentes cibernéticos reforzado con una solución de respaldo, objetivos de punto de recuperación (RPO) y objetivos de tiempo de recuperación (RTO). El RPO se refiere a la pérdida máxima de datos que una empresa puede sufrir después de un ataque cibernético, mientras que el RTO es el tiempo máximo que las empresas pueden prescindir de las redes y los servicios de TI.
Dado que la NIS 2 se centra específicamente en los riesgos de seguridad de la cadena de suministro, Joyce aconseja a las empresas que evalúen cómo sus proveedores y socios abordan las cuestiones de ciberseguridad. También añade que las empresas deben enseñar a su personal a identificar y denunciar las amenazas de ciberseguridad, y añade que "es esencial tener estructuras claras de responsabilidad y presentación de informes".
Y concluye: “El cumplimiento normativo no es una tarea que se realiza una sola vez; requiere un mantenimiento y una vigilancia constantes, por lo que las empresas deben mantenerse informadas sobre la evolución de los requisitos y fomentar una cultura de mejora continua en materia de ciberresiliencia”.
