La responsabilidad principal de NIS2 recae en el CIO/CISO y las áreas de negocio
- Normativa
La directiva NIS2 exige a las empresas fortalecer sus medidas de seguridad cibernética, incluyendo la revisión exhaustiva de sus sistemas, procesos y dependencias tecnológicas. Zscaler advierte sobre los peligros de depender de tecnologías heredadas como VPN y firewalls.
La directiva NIS2, que amplía considerablemente el alcance de la normativa NIS original, se está implementando en la legislación nacional de España y otros países de la UE, afectando a un mayor número de entidades, incluidos sectores estratégicos como energía, salud y telecomunicaciones. Los Estados miembros deben adoptar esta directiva antes del 17 de octubre de 2024. Pues bien, Zscaler advierte sobre el impacto directo que NIS2 tendrá en fusiones, adquisiciones y desinversiones (M&A/D).
La directiva NIS2 exige a las empresas fortalecer sus medidas de seguridad cibernética, no solo para cumplir con las nuevas normativas, sino también para protegerse de posibles riesgos durante procesos de M&A. En estos escenarios, las empresas se enfrentan a vulnerabilidades que pueden ser aprovechadas por actores maliciosos, por lo que, durante la diligencia debida tecnológica, es imperativo evaluar la postura de ciberseguridad de las organizaciones involucradas, incluyendo la revisión exhaustiva de sus sistemas, procesos y dependencias tecnológicas.
En el contexto de las desinversiones, donde las empresas venden partes de su negocio, la directiva NIS2 también requiere que las compañías mantengan altos estándares de ciberseguridad para evitar que datos sensibles o propiedad intelectual sean comprometidos. Esto es particularmente relevante en un entorno donde la exposición a riesgos cibernéticos puede tener consecuencias devastadoras.
Según el informe de riesgos de VPN Zscaler, la responsabilidad principal de NIS2 recae en el área de CIO/CISO (42%) y las áreas de negocio (58%). “La planificación de una desinversión o integración conforme a NIS2 comienza desde el primer día, tanto en el lado comercial como en el de TI. Las responsabilidades deben reflejarse en el modelo operativo a lo largo de todos los procesos comerciales clave, especialmente en el área de la cadena de suministro, donde la transparencia y la mitigación de vulnerabilidades son más difíciles de lograr debido a los entornos dispares”, concluye Dominik Denninger, gerente sénior de fusiones y adquisiciones y desinversiones de TI en Zscaler.
Modelo zero trust
En este sentido, la implementación de una arquitectura de seguridad basada en el modelo zero trust se ha convertido en un componente esencial para asegurar la integridad de las operaciones de M&A/D. Este enfoque permite a las compañías reducir la superficie de ataque, proteger datos sensibles y garantizar la continuidad del negocio, independientemente de la complejidad de las transacciones.
Asimismo, Zscaler advierte sobre los peligros de depender de tecnologías heredadas como VPN y firewalls, que pueden no ofrecer la protección necesaria frente a las amenazas modernas. De hecho, el ‘Informe de Riesgo VPN 2024’ (VPN Risk Report), revela que el 56% de las organizaciones encuestadas asegura haber sufrido al menos un ciberataque relacionado con VPN en el último año, lo que resalta la necesidad de adoptar una arquitectura de Zero Trust más sólida.