A mediados de octubre, las empresas deberán tener todo listo para cumplir con la NIS2, la nueva directiva europea sobre redes y sistemas de información, que sustituye a la anterior normativa que data de 2016. La NIS2, que entró en vigor a principios de este año, comenzará a aplicarse y obligará a miles de empresas a adoptar un conjunto de medidas para aumentar la resiliencia y las capacidades de respuesta ante incidentes tanto del sector público como del privado, y del territorio de la Unión Europea en su conjunto.
A día de hoy, según un informe sectorial, solo el 12% de las compañías españolas cumplen los requisitos de esta norma, dos puntos porcentuales menos que la media europea, aunque más del 80% de los directores de TI confían en que sus organizaciones los cumplirán cuando se aproxime la fecha de aplicación. “Aunque la UE y sus organismos llevan mucho tiempo trabajando en esta normativa, y las empresas afectadas han sido informadas, es fundamental que los departamentos de TI, de ciberseguridad, gestión de riesgos y legal se coordinen para que en los tres meses que quedan, tengan todo preparado y no dejarlo todo para el final”, explica Juan Francisco Moreda, responsable de /fsafe, la unidad de ciberseguridad de fibratel.
En este sentido, se recuerda que la directiva tiene implicaciones para aproximadamente 100.000 empresas, consideradas esenciales e importantes, de una gran variedad de sectores, que tendrán que implantar de forma proactiva una serie de medidas en materia de gestión y notificación de incidentes, protección de la cadena de suministro, intercambio de información y divulgación de vulnerabilidades, programas de concienciación y formación, etc. “Las compañías a las que afecta ya han sido debidamente notificadas y, creemos que esta nueva norma, una vez que se transponga a los ordenamientos jurídicos de los Estados, supondrá un punto de inflexión para la ciberseguridad en Europa, con una mejor comprensión de los riesgos, más capacidad de respuesta ante amenazas y una mayor ciberresiliencia. Por eso, la adaptación a sus requerimientos es crítica”, subraya el experto.
Claves para cumplir con los criterios establecidos en la NIS2
- Preparación para la aplicación de la Directiva: el ámbito de aplicación de esta normativa se ha ampliado, y afecta a organizaciones calificadas como esenciales (transportes, utilities, salud, banca, operadores de telecomunicaciones e Internet, etc.) e importantes (servicios postales y de mensajería, plataformas soluciones, buscadores, alimentación, plantas químicas, etc.). Es un buen momento para entender los requisitos de la norma, las obligaciones que supone para compañía, su estado actual y las medidas implementar.
- Mejores prácticas en gestión de riesgos: ligado al anterior punto, será necesario identificar y evaluar los riesgos, y establecer políticas y procedimientos que permitan mejorar la postura de ciberseguridad.
- Implementación de medidas: la norma exige que se tomen una serie de medidas de prevención, como la implementación de autenticación multifactor y controles de acceso a los sistemas y aplicaciones, sistemas de detección de amenazas, bloqueo y minimización del impacto de ciberataques, así como habilitar sistemas de continuidad de negocio.
- Revisión del proceso de notificación de incidentes: las incidencias importantes tendrán que notificarse en 24 horas y las menos relevantes en 72. Por tanto, deberán definirse planes efectivos de respuesta y procedimientos claros de notificación.
- Formación: la ley exige políticas de ciberhigiene y formación en ciberseguridad para todos los empleados.
La cuenta atrás para la aplicación ha comenzado y puede ser un revulsivo para que la ciberseguridad acabe integrándose en la cultura corporativa.
