NIS2: reto y oportunidad para mejorar la postura de seguridad en Europa
- Opinión
La transición digital de la Unión Europea estará en riesgo si falla la respuesta colectiva frente a las ciberamenazas, que permita a todas las organizaciones, sean públicas o privadas, ser más ciberresilientes. Eso es lo que pretenden los legisladores comunitarios con la NIS2 la nueva directiva europea sobre redes y sistemas de información que sustituye a la anterior norma de 2016.
Con esta normativa la Unión Europea tiene una gran oportunidad para cambiar las reglas del juego en materia de ciberseguridad en la Unión Europea aunque, en un principio, supondrá un reto para miles de empresas garantizar su cumplimiento. La fecha límite que tienen los Estados miembros para transponer su articulado a los ordenamientos jurídicos nacionales es el próximo 17 de octubre y, para ese entonces, ya tienen que haberse adaptado a parte de los requerimientos.
La regulación, que se aprobó en diciembre de 2022, comenzará a aplicarse y obligará a miles de empresas a adoptar un conjunto de medidas para aumentar su resiliencia y sus capacidades de respuesta ante incidentes. Su incumplimiento implicará duras sanciones económicas, con multas de hasta 10 millones de euros o el 2% de la facturación anual para las denominadas “entidades esenciales” (sectores de alta criticidad, como energía, transporte, salud, etc.) y de hasta 7 millones o el 1,4% de sus ingresos para las clasificadas como “importantes” (sectores críticos como servicios postales, gestión de residuos, productos químicos, etc.). Incluso, las autoridades podrán imponer suspensiones temporales del servicio.
La directiva tiene implicaciones para aproximadamente 100.000 empresas, consideradas esenciales e importantes, de una gran variedad de sectores, que tendrán que implantar de forma proactiva una conjunto amplio de medidas.
La ayuda experta para que las organizaciones cumplan sin problemas los nuevos criterios de la normativa, procede en gran parte de los proveedores de servicios gestionados de ciberseguridad, cuyos especialistas estamos preparados para llevar a cabo iniciativas críticas que exigen una preparación para entender los requisitos de la norma, el estado actual de la compañía y las medidas a implementar. Esto se consigue durante la fase de análisis y consultoría, que será un buen punto de partida para identificar y evaluar los riesgos, y establecer políticas y procedimientos que permitan mejorar la postura de ciberseguridad.
Este análisis no es baladí ya que la nueva regulación implica un buen número de cambios en múltiples ámbitos, desde gestión de riesgos, notificación de incidentes, o protección de la cadena de suministro, a implementar sistemas de control de acceso, de bloqueo y minimización del impacto de las ciberamenazas o de continuidad de negocio. Además, se refuerzan los instrumentos de intercambio de información y divulgación de vulnerabilidades e introduce como claves los programas de concienciación y formación tanto para los órganos de dirección como para los empleados.
Queda apenas un mes para que los departamentos de TI y Ciberseguridad, Gestión de Riesgos y Legal puedan preparar a sus empresas para la NIS2 y, a buen seguro, contribuirá a que la ciberseguridad se integre en la cultura corporativa.
Por David López, Cybersecurity Product specialist de Ricoh España