Las empresas ya no pueden permitirse ser sorprendidas por ciberataques. El año 2024 afronta una oleada de ciberataques sin precedentes que ha hecho saltar las alarmas y ha situado a España en el 8º país más atacado a nivel mundial. Por ello, las medidas a implementar para aumentar la seguridad han de ser más rigurosas, lo que implica mejores evaluaciones de riesgos y gestión de estos. Como resultado, la UE ha actualizado la normativa NIS2 (Network and Information Security Directive) de 2016.
La nueva directiva, que tiene que ser transpuesta a los ordenamientos jurídicos de los Estados miembros antes del 17 de octubre, pretende ampliar la capacidad de respuesta ante incidentes para hacer frente a un contexto complicado de ciberamenazas, que año tras año se vuelven más numerosas, complejas y severas.
Muchas empresas –se estima que más de 2.000 en España– de sectores, como la energía, el transporte, la salud o las finanzas, deberán adoptar medidas encaminadas a mejorar la gestión y el control del riesgo, incorporar procesos de notificación de incidentes más rápidos, y estar preparadas para una mayor cooperación para hacer frente a las vulnerabilidades y ciberataques, ya que la normativa fomenta la coordinación y el intercambio de información entre los sectores público y privado, el sector de la ciberseguridad y los reguladores, para articular una respuesta eficiente ante las amenazas.
Hoja de ruta
“Tenemos un trabajo importante de nuestro lado en conocer en detalle la directiva y hacer que las empresas con las que trabajamos sean conscientes y preparen una hoja de ruta que les ayude a integrar está normativa en la medida adecuada a sus realidades”, explica Iván Bermejo, Defensive Security Team Lead de Innovery by Neverhack España.
Según este experto, cumplir con NIS2 implica una revisión profunda de los sistemas operativos y tecnológicos de las empresas, pero los verdaderos desafíos de esta normativa están relacionados con el factor humano y la cadena de suministro:
- Formación y concienciación. La tecnología actual está preparada para repeler los ciberataques en todos los frentes, pero es importante hacer hincapié en proteger a las personas, ya que el factor humano sigue siendo el eslabón más débil de la cadena. Y es que la falta de concienciación de los empleados abre la puerta a un mayor número de ciberataques. Entre el 75 y el 95% de los incidentes de ciberseguridad tienen su origen en un error humano. La formación en ciberresiliencia de los empleados, poniéndolos en el centro de la estrategia de ciberseguridad, se convierte en obligatoria.
- Gestión de la cadena de suministro. Este punto de la normativa cambia el paradigma de cómo ha estado operando hasta ahora. Las compañías están obligadas a evaluar a sus proveedores y analizar cómo interactúan. Se les debe dar un acceso de VPN segregado, diferente al de los empleados y hacer uso de todas las medidas de securización ante mails externos. Esto exige una monitorización de todos los usuarios procedentes de proveedores y ver sus flujos de trabajo. En caso de que los proveedores no puedan adaptarse, muchas empresas tendrán que cambiar su relación con terceros para poder cumplir la normativa.
Las sanciones por incumplimiento pueden alcanzar los 10 millones de euros en el caso de las organizaciones que operan en sectores de alta criticidad, pero el impacto reputacional y la pérdida de confianza de clientes y partners pueden resultar aún más costosos a largo plazo. Por ello, es crucial que las empresas desarrollen planes claros para cumplir con los requisitos establecidos por esta normativa y proteger así su infraestructura tecnológica.
“Con esta normativa en mente, es esencial comenzar a implementar los cambios necesarios para garantizar la protección de sus redes y sistemas de información. Como buen punto de partida, recomiendo a las empresas realizar un análisis para ver dónde se encuentra y comprobar qué tienen que poner en marcha, seguido de una priorización adecuada y dedicarle los recursos necesarios”, explica el experto.
