En qué consiste la NIS2: la nueva normativa Europea de Ciberseguridad

La Directiva sobre Seguridad de las Redes y los Sistemas Informáticos (NIS2) es la nueva normativa de ciberseguridad de la Unión Europea, que actualiza y amplía la anterior NIS1, aprobada en 2016. Esta directiva establece un estándar de medidas de ciberseguridad para asegurar que las redes y sistemas de información de las empresas europeas estén protegidos contra ciberamenazas.

¿Por qué las empresas deben adaptarse al NIS2?

NIS2 representa un avance significativo en la ciberseguridad empresarial. Sin embargo, es crucial que las organizaciones comprendan cómo cumplir con esta normativa para aprovechar sus beneficios. Cumplir con la directiva implica mucho más que simplemente adoptar nuevas tecnologías; requiere crear una cultura de seguridad que se extienda más allá del departamento del CISO e impacte en toda la organización. Actualmente, muchas empresas enfrentan desafíos como:

• Detección rápida: En 2023, el tiempo promedio que un delincuente necesita para moverse lateralmente desde un acceso comprometido se redujo a 62 minutos, según un informe de CrowdStrike. Es esencial que las organizaciones detecten y detengan las amenazas antes de que se conviertan en incidentes graves.
• Comprensión de la nube: La nube se ha convertido en un campo de batalla crucial, con un aumento del 75% en las intrusiones y un 110% en los ciberataques relacionados con la nube en 2023. Las empresas deben entender y proteger sus entornos en la nube.
• Analistas capacitados: El panorama de amenazas es cada vez más complejo, y la falta de habilidades en seguridad complica la situación. Es fundamental que las empresas seleccionen las herramientas y servicios adecuados para que sus analistas puedan detectar y mitigar amenazas de manera efectiva.
• Gestión de herramientas de seguridad variadas: La adopción de múltiples productos de seguridad para enfrentar nuevas amenazas puede aumentar la complejidad y crear brechas que los adversarios pueden aprovechar.
A pesar de estos desafíos, NIS2 tiene como objetivo fortalecer las capacidades de las organizaciones en la UE que desempeñan funciones cruciales para la sociedad y la economía. La directiva busca reducir las inconsistencias en la respuesta a las amenazas de ciberseguridad, aumentar la concienciación y mejorar la capacidad de respuesta ante incidentes.

¿Cuál es la fecha para adaptarse a la normativa NIS2?

Los Estados miembros de la UE tienen hasta el 17 de octubre de 2024 para incorporar las regulaciones NIS2 a sus leyes nacionales. Por ello, los líderes empresariales de las organizaciones consideradas infraestructuras críticas deben actualizar las prácticas de ciberseguridad de sus empresas, ya que el incumplimiento podría resultar en multas, daños a la reputación y pérdida de clientes.

¿Cuál es su impacto en personas y procesos?

Es importante destacar que NIS2 no se limita a la tecnología necesaria para enfrentar ciberataques. También requiere que las empresas adopten mejores prácticas y fomenten una cultura en la que cada persona valore la ciberseguridad. Los líderes empresariales pueden involucrar a toda la organización recordando que los requisitos de NIS2 se dividen en tres áreas clave: personas, procesos y tecnología.

• Personas: Los empleados son fundamentales para construir una cultura de ciberseguridad sólida. Capacitar al personal en las mejores prácticas y contratar expertos externos para la detección y respuesta a incidentes son pasos necesarios. Además, es vital que la organización exija estas prácticas a sus socios.
• Tecnología: La empresa debe contar con la tecnología adecuada para defenderse de amenazas. A medida que las organizaciones expanden sus sistemas, es crucial elegir plataformas de seguridad integradas que cubran los puntos ciegos y simplifiquen la defensa cibernética.
• Proceso: Los procesos de ciberseguridad deben adaptarse continuamente para estar un paso por delante de los adversarios. Los líderes empresariales y los CISO deben comprender bien estos procesos para que toda la organización pueda enfrentar el cambiante panorama de amenazas.

Aunque cumplir con NIS2 puede ser un desafío, las empresas que prioricen la ciberseguridad y se alineen con la directiva estarán mejor preparadas para enfrentar las amenazas actuales y futuras, y para impulsar su crecimiento en los próximos años.
Para más información, no dudes en ponerte en contacto con el Departamento de Protección de Datos de CINC.