NIS2, la oportunidad para abordar la ciberseguridad

La directiva NIS2 (Network and Information Security) propone seguir mejorando el trabajo iniciado en la directiva NIS para crear un alto nivel común de ciberseguridad en toda la Unión Europea imponiendo obligaciones a los Estados miembros y a las entidades públicas y privadas de sectores críticos.

El pasado 17 de octubre de 2024 concluyó el plazo para la trasposición de la directiva NIS2 en España, esto es la adaptación de la nueva normativa. Sin embargo, es posible que en España la aplicación de la norma se retrase algunos meses.

Esta directiva aplica tanto a entidades públicas como privadas que sean medianas o grandes empresas, y distingue entre sectores esenciales y críticos. En su anexo I y II tipifica las actividades que se consideran críticas y sujetas a esta normativa. En ella se estipula la adopción de medidas de gobernanza, gestión de riesgos de ciberseguridad e información. Y obliga a adoptar medidas técnicas, operativas y organizativas proporcionadas para gestionar los riesgos de ciberseguridad, así como para prevenir y minimizar el impacto de posibles ciberincidentes.

A este tipo de empresas aplica un régimen de supervisión, por parte de las autoridades competentes, mediante inspecciones y auditorías. Y esta tipología de empresa tendrá que notificar los incidentes relevantes de ciberseguridad con impacto significativo al CSIRT (Equipos de Ciberseguridad y Gestión de Incidentes Españoles) o autoridad competente correspondiente. Además, la directiva les obliga a llevar una gestión de riesgos con sus proveedores y presentadores de servicios directos para garantizar la seguridad en la cadena de suministros TIC.

Así mismo, la directiva obliga a adoptar prácticas de ciberhigiene, como confianza cero, actualización de dispositivos, segmentación de la red, la gestión de la entidad y el acceso o la concienciación de los usuarios con la organización de formaciones para su personal y sensibilizar sobre las ciberamenazas. Con ella, además aumenta la responsabilidad de los órganos de dirección. Y las empresas se enfrentan a sanciones de hasta 10 millones de euros o el 2% de su volumen de negocio anual para entidades esenciales, y hasta 7 millones de euros o el 1,4% para sectores críticos.

Desde la Cátedra de Ciberseguridad INCIBE-UPV, que es parte del convenio entre el Instituto Nacional de Ciberseguridad (INCIBE), entidad dependiente del Ministerio para la Transformación Digital y de la Función Pública, a través de la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales, y la Universitat Politècnica de València, queremos concienciar a las organizaciones de los sectores afectados para que aprovechen la demora de este periodo en la aplicación de la directiva y se preparen y adapten su modus operandi a los requisitos que establece NIS2.

Una preparación que ataque diferentes ámbitos. Por un lado, la evaluación previa de la ciberseguridad, donde se realice un análisis exhaustivo de sus riesgos en relación a los requisitos de la directiva. Así como una política de gestión que desarrolle procedimientos y planes alineados con los estándares que requiere la directiva. También el fomento y la cultura de seguridad dentro de la organización con una formación continua para todos los empleados en la que sea tan importante el personal operativo como el CEO de la compañía, que también debe realizar las formaciones. Junto a ello, un plan de detección y respuesta que detecte cualquier amenaza de manera temprana con una respuesta eficaz previamente diseñada. También las pruebas y actualizaciones de software de todos los sistemas y sus componentes, ya que este hecho hace que permanezcan resilentes frente a ciberataques. Y como punto final, una continua supervisión de los sistemas para poder detectar y actuar de forma rápida ante una amenaza, así como una colaboración permanente con las autoridades competentes en materia de ciberseguridad, como INCIBE. 

Las empresas deben entender y concienciarse que solo existen dos grupos de compañías; aquellas que han sufrido un ataque y las que lo sufrirán en el futuro. En la era de la digitalización y la Inteligencia Artificial no existe el riesgo cero, y los ciberdelincuentes cuentan con presupuestos económicos mayores a los de muchos países, y organizaciones mundiales que los respaldan. Por ello, trabajar para modernizar y fortalecer nuestra red de seguridad es el mejor camino que podemos transitar.

Santiago Escobar es director de la Cátedra de Ciberseguridad INCIBE-UPV