La dura cuenta atrás para la nueva era normativa en ciberseguridad
Octubre es el límite para que las empresas, con mucho trabajo aún por delante, apliquen la exigente regulación europea en esta materia
La compleja misión de blindar la ciberseguridad de las fábricas conectadas
La Unión Europea (UE) se refuerza contra el cibercrimen. Y el reloj ya está en marcha. Los países miembros tienen hasta el 17 de octubre de 2024 para adaptar la Directiva NIS2, el último escudo regulatorio frente a las crecientes amenazas digitales, a ... sus legislaciones nacionales. Esta directiva amplía el ámbito de aplicación a sectores críticos como la energía, salud, transporte y tecnología, estableciendo estrictas normas para proteger las redes y sistemas de información. Las empresas que no cumplan se enfrentan a sanciones administrativas de hasta 10 millones de euros o de un máximo del 2% del volumen de negocios anual a nivel mundial.
«Según el artículo 41 de la Directiva NIS2, deberá transponerse en todos los Estados miembros, entre ellos España, a más tardar el 17 de octubre de 2024, siendo de aplicación el 18 de octubre de ese mismo año», dice Javier Cutillas, cybersecurity sales engineer en Devoteam CyberTrust.
Esta directiva surge por la necesidad de actualizar y fortalecer las medidas establecidas en la anterior NIS1 debido a las limitaciones existentes que dificultan abordar los retos actuales y emergentes en el sector de la ciberseguridad, dice Cutillas. El experto destaca la posibilidad que ofrece esta regulación para dar cobertura a sectores estratégicos como el energético, las aguas residuales, las infraestructuras digitales o las entidades de administración pública y regional.
'Insiders', el gran enemigo de la ciberseguridad está de puertas adentro
Ya sean por descuido, negligencia, despecho o ánimo de lucro, los ataques propiciados por trabajadores desde el interior de la empresa se han convertido en el gran coladero para los sistemas de protección
«Otra novedad importante es la obligación de notificar los incidentes de ciberseguridad de forma más rápida y eficiente. Las empresas deben informar de cualquier incidente significativo en un plazo de 24 a 72 horas, dependiendo de la gravedad del ataque. Esto es crucial para mitigar el impacto de los ciberataques y para garantizar una mejor cooperación entre los estados miembros», dice Montserrat Recio, especialista en ciberriesgos del bróker global de seguros y reaseguros RibéSalat.
La directiva NIS2 está en vigor desde el 16 de enero de 2023. Sin embargo, según un informe de la firma de ciberseguridad Kaspersky, solo el 59% de las empresas consultadas se preocupan por las filtraciones de datos relacionadas con la inteligencia artificial. A pesar de ello, únicamente el 22% ha abordado la regulación de la inteligencia artificial en sus discusiones internas. Así, estos datos podrían reflejar una cierta falta de preocupación por parte de algunas organizaciones por el cibercrimen, una amenaza que NIS2 buscará mitigar.
Para tener un dato, el 59% de las organizaciones españolas se vieron impactadas por un ciberataque de estilo 'ransomare' en 2023, de acuerdo con un estudio de Sophos, dice Ricardo Maté, vicepresidente para Sophos Iberia. «Al alinearse con la Directiva NIS2, las empresas españolas pueden mejorar su reputación como socios seguros y confiables en el mercado global, convirtiendo el cumplimiento en una ventaja competitiva», comenta Maté.
«Mientras que algunas empresas, especialmente en sectores críticos como energía, salud, transporte y banca, ya están tomando medidas significativas para cumplir con los nuevos requisitos, otras se encuentran en etapas iniciales de adaptación. La NIS2 exige que las organizaciones implementen medidas técnicas, operativas y organizativas para gestionar los riesgos de seguridad en redes y sistemas de información», dice Mateo Madariaga, OT & IioT solution sales manager de Kaspersky Iberia.
Herramientas útiles
Ya hay herramientas y servicios en el mercado que facilitan a las organizaciones el cumplimiento de la directiva, dice Madariaga, que considera que muchas empresas ya están trabajando para alinearse con los requisitos de la directiva, pero queda mucho por hacer.
Sobre la adaptación de las empresas españolas para cumplir con NIS2, Sara Rivera, directora de ciberseguridad de NTT DATA, indica que varía mucho de un sector a otro. «En general el entorno financiero y los proveedores de servicios digitales llevan tiempo preparándose mientras que a otros sectores les está costando algo más. Está en marcha, pero aún queda mucho por hacer», asegura esta experta.
La inversión que una empresa debe hacer para adaptarse a esta legislación depende de muchos factores, como el estado de partida del nivel de ciberseguridad de una empresa o su tamaño. «Para una pyme, la inversión puede ser moderada si ya cuenta con una postura de ciberseguridad madura, mientras que, para una empresa grande, la inversión puede ser considerablemente mayor debido a la necesidad de implementar medidas de seguridad más avanzadas y complejas», dice Ribera.
El tiempo de adaptación también varía, con una pyme pudiendo completar el proceso en tres o cuatro meses, mientras que una gran empresa podría necesitar entre seis ó veinticuatro meses, dice. «Estos proyectos de adecuación requieren un análisis profundo y la recopilación de información, un proceso que, dependiendo del tamaño de la empresa, puede prolongarse durante meses», dice Cutillas, de Devoteam CyberTrust.
Por su parte, Madariaga, de Kaspersky, estima que para una pyme de unos 50 empleados el coste para adaptarse a esta legislación puede oscilar entre 20.000 y 100.000 euros, dependiendo de la complejidad de su infraestructura y de los recursos disponibles. Mientras tanto, para una empresa de más de 1.000 empleados, las inversiones tendrían que ser sustancialmente mayores debido a la complejidad de sus sistemas y al volumen de datos que manejan.
Desde RibéSalat, Recio recomienda a las compañías no esperar y comenzar cuanto antes a trabajar para adaptarse a las nuevas normativas. «El proceso de adaptación a los cambios normativos de esta directiva puede ser largo y complejo, ya que implica la revisión y actualización de políticas, procedimientos y sistemas. Por ello, esperar hasta el último momento podría suponer una carga de trabajo y un esfuerzo mayor para las empresas», asegura.
Dificultades
Madariaga, OT & IioT solution sales manager de Kaspersky Iberia, asegura que los principales retos para que las empresas españolas se adapten a la Directiva NIS2 giran en torno a la complejidad de las medidas requeridas y la necesidad de recursos. «Muchas empresas, especialmente las pymes, enfrentan dificultades para destinar suficientes recursos financieros y humanos a la implementación de medidas de ciberseguridad», comenta.
«Lo primero que hay que tener en cuenta es que la transposición de la directiva NIS2 en España está en proceso y debe completarse antes del 17 de octubre», dice Rivera, directora de ciberseguridad de NTT DATA. Esta fecha límite puede ser uno de los principales retos, ya que prácticamente está a la vuelta de la esquina.
En comparación con otros vecinos de la región, España se encuentra ligeramente en desventaja respecto a países como Bélgica, Hungría y Croacia, que ya han adoptado la legislación de implementación de NIS2, u otros como Alemania, Polonia y Suecia, que han publicado borradores de su legislación, comenta Rivera. «En España vamos un poco más lentos, lo que también influye en que vayamos un poco por detrás en la adopción de medidas, pero en general estamos alineados con la mayoría de países de la región», concluye el portavoz de NTT DATA.
Deberes pendientes y pasos adelante para que las empresas asuman el reto de apuntalar la ciberseguridad sin fisuras.
Esta funcionalidad es sólo para suscriptores
Suscribete
Esta funcionalidad es sólo para registrados
Iniciar sesiónEsta funcionalidad es sólo para suscriptores
Suscribete