Este marco jurídico unificado para los distintos Estados miembros implica la protección de los sistemas de redes e información, sus usuarios u otras personas afectadas frente a posibles incidentes y ciberamenazas en sectores críticos. A diferencia con la regulación de referencia ya existente NIST CSF 2.0, de carácter voluntario, flexible y aplicable a organizaciones de cualquier tamaño, región o sector, aunque originalmente diseñada para Estados Unidos, la NIS2 impone por su parte obligaciones legales a sectores esenciales y servicios digitales, con un enfoque específico para la UE, y objetivos de fortalecer tanto la ciberseguridad como la resiliencia.
“Los ciberdelincuentes no cesan en sus intentos de ataque contra empresas de todo tipo y tamaño mediante tácticas, técnicas y procedimientos cada vez más sofisticados que incrementan sus probabilidades de éxito. Proteger los sistemas y las redes corporativas, poniendo a salvo la información y garantizando la continuidad de negocio será ahora más esencial que nunca”, señala Jacinto Cavestany, CEO de Evolutio, compañía tecnológica experta en integración de servicios cloud y ciberseguridad.
Ante la transposición de NIS2, Evolutio ha analizado los cinco puntos clave y cómo impactará esta nueva regulación en las estrategias de ciberdefensa desarrolladas por las organizaciones:
· Identificar las entidades esenciales e importantes, base para gestionar las debilidades ante el panorama de ciberamenazas: ya tengan su residencia fiscal en España u ofrezcan servicios en el territorio, la NIS2 concierne a entidades públicas o privadas especializadas en áreas de alta criticidad como energía, transporte, banca y mercados financieros, sanidad, agua, infraestructuras digitales y servicios tecnológicos, administraciones e industria nuclear. Asimismo, la directiva contempla otros sectores como servicios postales y de mensajería; gestión de residuos; fabricación, producción y distribución de sustancias y mezclas químicas; producción, transformación y distribución de alimentos; proveedores de servicios digitales; investigación científica; y seguridad privada. Por tamaño, en España habría 33.072 empresas con más de 50 empleados a las que les afectaría la NIS2, si se tienen en cuenta los datos del pasado diciembre en cuanto a inscripciones en la Seguridad Social. El 17 de abril de 2025 será una fecha que tener en mente, puesto que marca el tiempo que tienen los estados de la UE para elaborar un listado de las entidades esenciales e importantes, así como de las compañías que prestan servicios de registro de nombres de dominio. Dicha relación deberá revisarse al menos cada dos años. Diseñar una estrategia de ciberseguridad alineada con el negocio será clave para incrementar fortalezas y gestionar debilidades con las que afrontar tanto el nuevo panorama de ciberamenazas como el cumplimiento normativo.
· Planificación con medidas adecuadas y proporcionales: en función del riesgo, tamaño, impacto y gravedad de los incidentes, las entidades esenciales e importantes tendrán que llevar a cabo medidas de gestión de riesgos en su red, sistemas de información y el entorno físico de los mismos. Esta planificación debe incluir políticas de seguridad y análisis de amenazas; procedimientos de detección, respuesta y notificación; planes de crisis, continuidad y contingencias; seguridad de las relaciones con prestadores de servicios; escaneo de vulnerabilidades de redes y de información; evaluación de medidas; y programas de formación continua y concienciación integrales. Contar con expertos en seguridad, analítica y regulación, además de una propuesta amplia de ciberseguridad, aumentará la confianza digital de una empresa, adaptándose al escenario normativo presente.
· Gestión de riesgos de la cadena de suministro: la mayor incidencia de los ciberataques dirigidos a la cadena de suministro en los últimos años, en los cuales los atacantes consiguen infiltrarse en la infraestructura tecnológica de las organizaciones y acceder a redes y sistemas de información aprovechándose de vulnerabilidades, no ha pasado por alto para las autoridades regulatorias. Todos los procesos de base tecnológica, involucrados directa o indirectamente en la entrega de un producto o servicio serán evaluados bajo la NIS2. Las entidades esenciales deberán realizar acuerdos contractuales con sus proveedores y prestadores de servicios en cuanto a prácticas y medidas con las que garantizar la seguridad, así como analizar la calidad y la resiliencia de los productos contratados. Para adaptarse a la evolución de las ciberamenazas, las organizaciones necesitan una protección avanzada de datos sensibles, limitando accesos no autorizados; mayor visibilidad y control de comportamientos; además de soluciones escalables y adaptadas.
· Responsabilidad desde dentro de la organización: la alta dirección de entidades esenciales e importantes se encargará de aprobar medidas adecuadas en ciberseguridad y supervisarlas en la práctica, responsabilizarse en caso de incumplimiento, adquirir conocimientos y habilidades en gestión de riesgos de ciberseguridad —una gobernanza que anteriormente se promovía sólo a nivel organizacional—; por último, y no menos importante, dar una formación similar a todos los empleados regularmente. Las entidades han de gestionar sus ciber riesgos, tomando medidas técnicas, operativas y organizativas, asegurando a partir de ahora su cumplimiento a través de auditorías y mecanismos de control. Con una consultoría de seguridad experta, podrán identificar las principales amenazas en su sector, descubrir ataques frente a los que no están protegidas y priorizar la inversión. De hecho, la implementación de la NIS2 ha conseguido aumentar el gasto en ciberseguridad en la UE. La seguridad de la información representó el 9% de las inversiones de TI en 2023 hasta alcanzar la cifra de 1,4 millones de euros, aumentando 1,9 puntos porcentuales en un año, informa la Agencia de la Unión Europea para la Ciberseguridad (Enisa).
· Obligación de notificar incidentes significativos: cualquier incidente, ciberamenaza y "cuasiincidente" (que se previno o no se materializó) deberá informarse a los equipos de ciberseguridad y gestión de incidentes españoles (CSIRT) o autoridad competente; de lo contrario, al amparo de la NIS2, la entidad podrá ser objeto de sanciones aún más costosas que las que había hasta ahora, porque antes no era imperativa la notificación, aunque se fomentase una respuesta rápida. También se fijan plazos: para lanzar una alerta temprana se tienen hasta 24 horas desde el momento en que se tenga constancia, si ha causado graves interrupciones operativas, pérdidas financieras o afectado a personas, o bien cuenta con el potencial para hacerlo. A las 72 horas deberá emitirse una notificación del incidente y una evaluación inicial, aparte de un informe intermedio con actualizaciones pertinentes antes de emitir uno final al mes de la primera notificación. Contar con capacidades de investigación, detección y búsqueda de amenazas ayudará a las organizaciones incluso a adelantarse a los cibercriminales.
“La NIS2 eleva la ambición en ciberseguridad de la UE con una aplicación más extensa, normas más claras, así como una supervisión más sólida. En Evolutio creemos firmemente que todo dentro del negocio y su operativa tendrá que ver con la ciberseguridad, por lo que nuestra misión pasa por integrar la seguridad en las estrategias tecnológicas de nuestros clientes corporativos y de la administración pública desde el primer momento, ayudándoles a prevenir y actuar ante amenazas y asegurar el cumplimiento normativo”, concluye Cavestany.