¿Qué implicaciones tiene la NIS2 para las estrategias de ciberseguridad?

La Directiva entró en vigor el 27 de diciembre de 2022 tras su publicación en el Diario Oficial de la Unión Europea. No obstante, los diferentes países tienen hasta el 17 de octubre de 2024 para transponerla. Su objetivo es mejorar la resiliencia de la infraestructura crítica y alinear los esfuerzos de ciberseguridad en toda la UE. Introduce cambios de cumplimiento significativos para muchas empresas de los Estados miembros, cuyas autoridades tienen hasta septiembre de 2024 para transponer la norma a sus propias leyes nacionales, momento en el que las deberán cumplir con los requisitos específicos de cada país.

Esta normativa a escala de la UE introduce medidas legales para impulsar el nivel general de ciberseguridad en todo el territorio y mejorar la resiliencia de la infraestructura crítica. Será obligatoria para cualquier entidad europea con más de 250 empleados y una facturación anual de más de 50 millones de euros y/o un balance anual superior a 43 millones de euros. Las multas por incumplimiento podrían alcanzar hasta el 2% de la facturación anual o 10 millones de euros.

Para los expertos de la firma española Datos 101, el cambio de matiz que trae consigo la NIS 2  es que, más allá de la inclusión de nuevos obligados, nuevas medidas, novedades en las sanciones, etc., los nuevos requerimientos se enfocarán en la gestión de riesgos y las empresas pasarán a ser responsables de la actuación de sus proveedores y suministradores.

Un ejemplo de ello será cuando un cliente, con el que se lleva colaborando muchos años, no pueda seguir trabajando con nuestra empresa, no por la falta de calidad de los productos o servicios, del trato, de los precios, etc. sino porque no se cumplan con los estándares de ciberseguridad y que, a causa de la escasa postura de ciberseguridad, los responsables de la compañía podrían tener responsabilidades penales, el panorama cambia completamente.

A juicio de los especialistas de la esta compañía, “la NIS2 cambiará la perspectiva de muchas empresas y las excusas de ‘no soy ciberresiliente porque no soy objetivo y mi información no importa a nadie o soy demasiado pequeño y no me van a sancionar…’ se acabará cuando el cliente no quiera o no pueda trabajar con nosotros”. En este sentido, Juan Llamazares, su CEO, cree que “más pronto que tarde, las organizaciones van a tener que constatar la postura de ciberseguridad de sus proveedores, socios y colaboradores de negocio”.

Proteger la cadena de suministro 
En relación con los ataques a la cadena de suministro, la Agencia de la Unión Europea (UE) para la Ciberseguridad (ENISA) advierte sobre el crecimiento espectacular de éstos de un año a otro: un 17% de las intrusiones fueron incidentes relacionados con las cadenas de suministro.

Un ataque a la cadena de suministro sucede cuando el ciberatacante accede a la red de trabajo de una organización a través de terceros, como son proveedores, colaboradores, vendedores o incluso clientes. Muchas empresas trabajan con multitud de proveedores, desde materiales de producción hasta la externalización de servicios como pueden ser los tecnológicos. En otras, además, sus clientes acceden a los sistemas para cumplimentar determinados procedimientos.

Para Santiago Arellano, Cyber Account Manager de Datos 101, “es por ello por lo que es crucial proteger esa cadena de valor y garantizar que las empresas con las que trabajamos están igual de comprometidas con su postura de ciberseguridad. La falta de diligencia a la hora de establecer acuerdos con socios de negocio que no sean rigurosos con la protección de sus infraestructuras tecnológicas, su información y la nuestra, incrementa la efectividad de los ataques de los ciberdelincuentes”.

Mejora continua de la postura de ciberseguridad
Las normas derivadas de la férrea regulación europea en materia de ciberseguridad elevarán el nivel de exigencia a este respecto de las compañías a sus proveedores. Esta situación obligará a tener una visión más global y completa de los riesgos en ciberseguridad de una organización. Al respecto,  Datos101 considera que las empresas van a tener que reformular sus modelos de cumplimiento y su postura de ciberseguridad por aplicación de las nuevas regulaciones, siendo sometidas a controles periódicos por parte de sus clientes.

Sobre la postura de ciberseguridad, Arellano explica que “lo primero que debemos hacer antes de adoptar cualquier herramienta de ciberseguridad es saber cómo estamos y cuáles son los riesgos de ciberseguridad a los que se enfrenta o puede afrontar nuestra organización. Para ello debemos realizar un diagnóstico de la situación, realizar al menos un pentesting de la página web y analizar las vulnerabilidades de nuestra infraestructura tecnológica. Considero imprescindible proteger el puesto de trabajo con la adopción de un antivirus o su evolución EDR (Endpoint, Detection and Response)”.

El experto de Datos101 añade, además, que “el primer firewall de las compañías es el usuario y nuestros trabajadores deben conocer las amenazas a las que tienen que hacer frente en el uso diario de las herramientas tecnológicas que las organizaciones ponen a su disposición. Dentro de la evolución y la mejora de la postura de ciberseguridad de la compañía, se deberían incorporar soluciones más específicas para resolver amenazas concretas y, aquí, proponemos proteger el correo electrónico y la fuga de datos, el mayor activo de las empresas. Finalmente, para completar y limitar al máximo nuestro riesgo, considero necesaria la contratación de un ciberseguro”.