#TheCISOoutlook

NIS2: la ciberseguridad se robustece

por

La Directiva NIS2 de la Unión Europea (UE) representa una evolución significativa en las políticas de ciberseguridad de la región, al establecer medidas concertadas para proteger infraestructuras digitales esenciales y sectores clave de la economía. 

Fue el pasado enero de 2023 cuando entró en vigor, y los estados miembros han estado coordinando esfuerzos para integrarla plenamente en sus legislaciones nacionales. Su objetivo es claro: fortalecer la resiliencia digital frente al aumento de ciberataques y minimizar los riesgos asociados.  

Esta nueva directiva sustituye a la Directiva NIS1, lanzada en 2016. Sin embargo, NIS2 amplía el alcance de sus obligaciones y establece normativas más estrictas. Mientras que la primera versión se centraba en garantizar la seguridad de las redes y sistemas informáticos, la nueva normativa busca abordar las crecientes amenazas que afectan a sectores estratégicos, adoptando un enfoque integral que incluye la gestión de riesgos y la cooperación entre los estados miembros.  

En términos de impacto, NIS2 es comparable al Reglamento General de Protección de Datos (GDPR) pues ambas normativas fueron diseñadas para garantizar un nivel uniforme de protección dentro de la UE. En el caso particular de NIS2, la prioridad es la seguridad de las infraestructuras críticas, consideradas esenciales para el funcionamiento de la sociedad y la economía. Además, la NIS2 incluye un sistema de sanciones significativo para garantizar el cumplimiento, y de las cuales hablaremos más adelante.  

La directiva clasifica a las entidades que deben cumplir con ella en dos categorías: entidades esenciales (EE) y entidades importantes (IE). Las entidades esenciales, como las que operan en los sectores de transporte, energía, banca, salud y agua, están sujetas a requisitos de seguridad más estrictos y una supervisión regulatoria más exhaustiva. Por otro lado, las entidades importantes, que incluyen sectores como los servicios postales, la gestión de residuos y los proveedores digitales, enfrentan normativas menos rigurosas, pero igualmente cruciales para proteger sus operaciones.  

Requisitos clave 

Uno de los elementos más destacados de la NIS2 son los requisitos de seguridad que las empresas europeas deben implementar, los cuales abarcan desde la gestión de riesgos hasta el cifrado de datos y la autenticación multifactor, entre otros. Las medianas y grandes empresas que operan en sectores críticos o importantes deben adoptar estas medidas y requisitos, lo que refleja el enfoque de la UE para equilibrar la proporcionalidad con la protección integral.  

Algunos de los requisitos clave y más relevantes de la normativa se pueden resumir en los siguientes:

  • Gestión de riesgos. Las empresas deben identificar, evaluar y mitigar los riesgos cibernéticos que podrían comprometer su seguridad operativa. Este enfoque proactivo busca reducir la exposición a amenazas y garantizar que las organizaciones estén preparadas para enfrentar posibles incidentes de manera efectiva.  
  • Seguridad de la cadena de suministro. Las organizaciones deben evaluar la seguridad de sus proveedores y socios comerciales, asegurándose de que también cumplan con los estándares establecidos por NIS2. 
  • Medidas técnicas y organizativas. La NIS2 exige un enfoque integral que incluya controles de acceso, planes de continuidad del negocio y capacitación en ciberseguridad, que no sólo fortalecen la defensa contra ataques, sino que también fomentan una cultura organizativa orientada a la seguridad.  
  • Notificación de incidentes. Cuando ocurre un incidente significativo, las organizaciones deben seguir un proceso de cuatro fases: alerta temprana, notificación oficial, informe provisional y reporte final. Este último incluye un análisis forense detallado del incidente y las medidas implementadas para evitar recurrencias. 
  • Gestión de vulnerabilidades. Las empresas deben implementar procesos específicos para la detección y evaluación de las vulnerabilidades en los sistemas y aplicaciones, aplicar los parches de seguridad y actualizaciones necesarios para corregir de manera oportuna cualquier vulnerabilidad.
  • Cifrado de datos. A través del cifrado se busca proteger los datos confidenciales sensibles que están en tránsito y en reposo, en una diversidad de fuentes y repositorios como aplicaciones, bases de datos, registros, entre otros. 
  • Autenticación multifactor. NIS2 demanda implementar un sistema de MFA para proteger cuentas de usuario, acceso a aplicaciones y sistemas corporativos, con la finalidad de evitar riesgos como la suplantación de identidad o el mal uso de credenciales.

Mejor respuesta y colaboración

Además de las obligaciones básicas, la directiva NIS2 subraya la importancia de implementar medidas específicas, como el uso de criptografía, planificación para crisis y la gestión de vulnerabilidades. Estas acciones permiten a las organizaciones responder de manera eficaz ante incidentes, proteger datos confidenciales y mantener la operatividad frente a las amenazas emergentes.  

Asimismo, la NIS2 también fomenta la colaboración entre empresas, autoridades y organismos internacionales, incluyendo el intercambio de información sobre amenazas, mejores prácticas y soluciones innovadoras para mejorar la ciberseguridad colectiva.  

Las empresas que buscan apoyo para cumplir con la directiva pueden recurrir a consultoras especializadas, como Minsait que ofrece servicios que van desde auditorías internas hasta análisis forenses y la implementación de medidas correctivas. Además, proporcionan orientación estratégica para gestionar incidentes y desarrollar capacidades a largo plazo en ciberseguridad.  

Cabe destacar que las sanciones establecidas por la NIS2 reflejan la seriedad de su cumplimiento. Las entidades esenciales pueden enfrentar multas de hasta 10 millones de euros o el 2% de su facturación global anual, mientras que las importantes pueden ser sancionadas con hasta 7 millones de euros o el 1.4% de su facturación global anual. 

A pesar de su rigor, la NIS2 no debe verse únicamente como una normativa punitiva: su objetivo principal es mejorar la resiliencia digital de las empresas y proteger a la sociedad frente a riesgos cibernéticos. Busca también transformar a la ciberseguridad en un componente esencial de la estrategia empresarial, contribuyendo al desarrollo de un entorno digital más seguro y confiable.  

Homogeneizar la protección

En última instancia, la NIS2 es un avance necesario para abordar los desafíos de seguridad en la era digital. Al exigir un nivel uniforme de protección en toda la Unión Europea, refuerza la capacidad de las organizaciones para resistir ciberataques, proteger sus operaciones y salvaguardar los intereses de sus clientes y socios.  

En conclusión, la directiva NIS2 establece un estándar sin precedentes en la ciberseguridad de la Unión Europea. Si bien su implementación puede representar un desafío para las organizaciones, también es una oportunidad para fortalecer su resiliencia frente a las amenazas digitales. 

Alexander cuenta con casi ocho años de experiencia en el campo de la Ciberseguridad. Su principal objetivo es comprender las necesidades del negocio y los mercados para desarrollar y habilitar estrategias de integrales de Ciberseguridad, fusionando una visión de riesgos e impacto en el negocio con un enfoque tecnológico. Ha liderado proyectos destacadps que incluyen el diseño de planes Directores de Ciberseguridad en entornos IT y OT alineado a los retornos de inversión del negocio..

Los comentarios están cerrados.