La ciberseguridad ya no es solo una cuestión tecnológica, sino una prioridad estratégica y legal. Con la entrada en vigor de la nueva Ley de Coordinación y Gobernanza de la Ciberseguridad, que traspone la Directiva NIS2 al marco nacional, las organizaciones de sectores críticos se enfrentan a obligaciones mucho más estrictas en materia de prevención, respuesta y responsabilidad.
Para cumplir con las nuevas exigencias de NIS2, los expertos de Kaspersky recomiendan a las empresas adoptar un enfoque integral que combine tecnología, procesos y capacitación.
La Ley de Coordinación y Gobernanza de la Ciberseguridad, trasposición de la directiva Directiva NIS2, endurece los requisitos para las entidades críticas e importantes, incluyendo sectores como energía, transporte, finanzas, sanidad e infraestructuras digitales. Las empresas de estos sectores estarán obligadas a implementar medidas integrales de gestión de riesgos, incluyendo protecciones técnicas y organizativas, documentar incidentes de seguridad y notificarlos en un plazo de 24 horas. Además, refuerza la responsabilidad de los directivos, quienes podrían enfrentar sanciones personales en caso de incumplimiento.
Una mirada al sector europeo bajo la directiva NIS
En el informe de ENISA NIS360 2024 que aborda la madurez y criticidad de los sectores contemplados bajo la Directiva NIS2, se identifican diferencias significativas en el nivel de preparación y resiliencia cibernética entre sectores. Los sectores de electricidad, telecomunicaciones y banca se sitúan como los más maduros y críticos, gracias a una fuerte regulación, inversiones continuas y una consolidada colaboración público-privada. Estos sectores desempeñan un papel esencial en la estabilidad económica y social, y han logrado desarrollar capacidades avanzadas en materia de ciberseguridad.
Por el contrario, sectores como TIC, espacio, salud, administración pública, marítimo y gas se sitúan en una “zona de riesgo”: son altamente críticos, pero su nivel de madurez en ciberseguridad es bajo. Esta brecha representa una prioridad para las autoridades europeas, ya que un incidente grave en cualquiera de estos ámbitos podría tener consecuencias transnacionales.
Entre los problemas comunes que limitan el avance de estos sectores se encuentran la escasez de profesionales especializados, la falta de coordinación entre actores y una supervisión irregular por parte de las autoridades. Superar estas barreras requerirá no solo legislación, sino una estrategia compartida entre administraciones y empresas. De hecho, el refuerzo de capacidades, incluyendo el uso de plataformas de respuesta rápida y análisis forense como las que ofrecen ciertos actores tecnológicos, es ya una necesidad reconocida.
Ante este entorno cada vez más regulado, las organizaciones deben adaptar sus estrategias de ciberseguridad: realizar análisis periódicos de riesgos, fortalecer sus capacidades técnicas y definir procedimientos claros de respuesta. Las medidas a tomar se basan en un enfoque que contemple todos los riesgos y que tenga por objeto proteger las redes y los sistemas de información, así como el entorno físico de dichos sistemas, frente a los incidentes, e incluirán, como mínimo, lo siguiente:
- Políticas de análisis de riesgos y seguridad de los sistemas de información;
- Gestión de incidentes;
- Continuidad del negocio, como gestión de copias de seguridad y recuperación de desastres, y gestión de crisis;
- Seguridad de la cadena de suministro, incluidos los aspectos de seguridad relativos a las relaciones entre cada entidad y sus proveedores directos o proveedores de servicios;
- Seguridad en la adquisición, desarrollo y mantenimiento de redes y sistemas de información, incluida la gestión y divulgación de vulnerabilidades;
- Políticas y procedimientos para evaluarla eficacia de las medidas de gestión de riesgos de ciberseguridad;
- Prácticas básicas de higiene digital y formación en ciberseguridad;
- Políticas y procedimientos relativos al uso de criptografía y, en su caso, cifrado;
- Seguridad de los recursos humanos, políticas de control de acceso y gestión de activos; uso de soluciones de autenticación multifactor o autenticación continua, comunicaciones de voz, vídeo y texto seguras y sistemas de comunicación de emergencia seguros dentro de la entidad, cuando proceda
Paralelamente, existen normativas sectoriales como la Ley de Protección de Infraestructuras Críticas (Ley 8/2011), estrechamente ligada al Sistema Nacional de Protección de Infraestructuras Críticas (PNPIC), aplicable a operadores estratégicos (energía, transporte, agua, salud, etc.) que establece obligaciones para estos operadores y requiere planes específicos de seguridad y colaboración. Asimismo, el Reglamento General de Protección de Datos (RGPD) impone estrictos requisitos para la protección de datos personales, especialmente en caso de ciberincidentes.
Claves para cumplir con los nuevos estándares de ciberseguridad
Ante este escenario, contar con herramientas adecuadas, procesos definidos y personal capacitado resulta indispensable para cumplir con las exigencias regulatorias y mitigar los riesgos reales, según Kaspersky. Para facilitar esta adaptación, existen soluciones tecnológicas que permiten a las organizaciones mejorar su preparación y respuesta ante incidentes. Estas herramientas no solo ayudan a cumplir los requisitos normativos, sino que fortalecen la capacidad interna de gestión del riesgo.
- Detección y respuesta en endpoints (EDR): Estas soluciones proporcionan visibilidad avanzada sobre lo que ocurre en los sistemas de una organización. Esta capacidad resulta clave para realizar análisis forenses, identificar causas raíz y evitar la propagación de amenazas.
- Detección y respuesta gestionadas (MDR): En entornos donde los recursos internos son limitados o donde se requiere una vigilancia constante, la externalización a equipos especializados es una opción eficaz. Este modelo permite actuar con rapidez ante amenazas detectadas sin sobrecargar al equipo interno.
- Formación y concienciación en ciberseguridad: La cultura organizativa es uno de los pilares de la ciberresiliencia. Disponer de programas de formación continua —desde cursos básicos para personal general hasta entrenamientos especializados para equipos técnicos y directivos— ayuda a crear un entorno más consciente y preparado frente a los riesgos digitales.
- Inteligencia sobre amenazas (Threat Intelligence): Tener acceso a información actualizada sobre amenazas globales permite anticiparse a campañas maliciosas y reforzar los sistemas antes de que se produzcan incidentes. Una buena base de inteligencia ayuda a contextualizar los riesgos y priorizar acciones en función de la criticidad real del entorno.
- Respuesta ante incidentes (IR): La preparación para incidentes no se improvisa. Contar con procedimientos claros, roles definidos y ejercicios prácticos mejora notablemente la capacidad de recuperación.
