En què consisteix la NIS2: la nova normativa Europea de Ciberseguretat

La Directiva sobre Seguretat de les Xarxes i els Sistemes Informàtics (NIS2) és la nova normativa de ciberseguretat de la Unió Europea, que actualitza i amplia l’anterior NIS1, aprovada el 2016. Aquesta directiva estableix un estàndard de mesures de ciberseguretat per assegurar que les xarxes i sistemes d’informació de les empreses europees estiguin protegits contra ciberamenaces.

Per què les empreses s’han d’adaptar al NIS2?

NIS2 representa un avenç significatiu en la ciberseguretat empresarial. Tot i això, és crucial que les organitzacions comprenguin com complir amb aquesta normativa per aprofitar els seus beneficis. Complir la directiva implica molt més que simplement adoptar noves tecnologies; requereix crear una cultura de seguretat que s’estengui més enllà del departament del CISO i impacti a tota l’organització. Actualment, moltes empreses enfronten desafiaments com:

• Detecció ràpida: El 2023, el temps mitjà que un delinqüent necessita per moure’s lateralment des d’un accés compromès es va reduir a 62 minuts, segons un informe de CrowdStrike. És essencial que les organitzacions detectin i aturin les amenaces abans que es converteixin en incidents greus.

• Comprensió del núvol: El núvol s’ha convertit en un camp de batalla crucial, amb un augment del 75% a les intrusions i un 110% als ciberatacs relacionats amb el núvol el 2023. Les empreses han d’entendre i protegir els seus entorns a el núvol.

• Analistes capacitats: El panorama d’amenaces és cada cop més complex, i la manca d’habilitats en seguretat complica la situació. És fonamental que les empreses seleccionin les eines i els serveis adequats perquè els seus analistes puguin detectar i mitigar amenaces de manera efectiva.

• Gestió d’eines de seguretat variades: L’adopció de múltiples productes de seguretat per fer front a noves amenaces pot augmentar la complexitat i crear bretxes que els adversaris poden aprofitar.

Tot i aquests reptes, NIS2 té com a objectiu enfortir les capacitats de les organitzacions a la UE que exerceixen funcions crucials per a la societat i l’economia. La directiva busca reduir les inconsistències en la resposta a les amenaces de ciberseguretat, augmentar la conscienciació i millorar la capacitat de resposta davant d’incidents.

Els Estats membres de la UE tenen fins al 17 d’octubre del 2024 per incorporar les regulacions NIS2 a les seves lleis nacionals. Per això, els líders empresarials de les organitzacions considerades infraestructures crítiques han d’actualitzar les pràctiques de ciberseguretat de les empreses, ja que l’incompliment podria resultar en multes, danys a la reputació i pèrdua de clients.

El NIS2 i el seu impacte en persones i processos

És important destacar que NIS2 no es limita a la tecnologia necessària per enfrontar ciberatacs. També requereix que les empreses adoptin millors pràctiques i fomentin una cultura on cada persona valori la ciberseguretat. Els líders empresarials poden involucrar tota l’organització tot recordant que els requisits de NIS2 es divideixen en tres àrees clau: persones, processos i tecnologia.

• Persones: Els empleats són fonamentals per construir una cultura de ciberseguretat sòlida. Capacitar el personal en les millors pràctiques i contractar experts externs per a la detecció i la resposta a incidents són passos necessaris. A més, és vital que l’organització exigeixi aquestes pràctiques als socis.

• Tecnologia: L’empresa ha de tenir la tecnologia adequada per defensar-se d’amenaces. A mesura que les organitzacions expandeixen els seus sistemes, és crucial triar plataformes de seguretat integrades que cobreixin els punts cecs i simplifiquin la defensa cibernètica.

• Procés: Els processos de ciberseguretat s’han d’adaptar contínuament per estar un pas davant dels adversaris. Els líders empresarials i els CISO han de comprendre bé aquests processos perquè tota l’organització pugui enfrontar el panorama canviant d’amenaces.

Tot i que complir amb NIS2 pot ser un desafiament, les empreses que prioritzin la ciberseguretat i s’alineïn amb la directiva estaran més ben preparades per enfrontar les amenaces actuals i futures, i per impulsar-ne el creixement en els propers anys.

Per a més informació, no dubtis de posar-te en contacte amb el Departament de Protecció de Dades de CINC.