En 2023, Europa experimentó un promedio de 1.557 ciberataques semanales por empresa, lo que supone un aumento del 86% en comparación con el año anterior. Y es que, a medida que la digitalización y la transformación digital de las empresas avanza, sus infraestructuras de TI y OT cada vez están más integradas, lo que aumenta considerablemente el campo en el que pueden actuar los ciberdelincuentes. Además, estos cada vez realizan ataques más sofisticados, integrando herramientas de Inteligencia Artificial, por lo que los riesgos cada vez son mayores. Por ese motivo, la Unión Europea ha lanzado la NIS2, que busca dar prioridad a la ciberseguridad.
La Directiva NIS2 se dirige principalmente a organizaciones esenciales para la cadena de suministro de productos críticos de infraestructura. En nuestro trabajo diario, en Aire nos estamos encontrando a menudo con empresas de todo tipo que tras la lectura de la normativa aún tienen dudas sobre la forma en la que tienen que aplicarla. El mensaje que tratamos de transmitirles es que tienen que ser consecuentes de que tienen que mejorar la gobernanza de su ciberseguridad, así como las medidas de gestión de riesgos y prepararse para las nuevas obligaciones que vienen derivadas de esta normativa y que incluye la presentación de informes.
También les transmitimos que deben utilizar marcos reconocidos internacionalmente, como la serie ISA/IEC 62443 para seguridad OT, para cumplir los requisitos de cumplimiento necesarios.
Multas y responsabilidad penal
La Directiva NIS2 supone un gran salto en obligaciones respecto a la Directiva NIS inicial. La UE ahora impondrá:
- Sanciones financieras: similares a las previstas en la legislación GDPR, a organizaciones que no cumplan dentro del plazo establecido.
- Entidades esenciales – (10M€) o (2% de la facturación anual total mundial)
- Entidades importantes – (7M€) o (1,4% de la facturación anual total mundial)
- Multas administrativas: las autoridades competentes pueden imponer multas administrativas por incumplimiento de obligaciones específicas en virtud de la directiva.
- Medidas correctivas: además de las sanciones financieras, es posible que requieran a las entidades que implementen medidas correctivas específicas para abordar el incumplimiento identificado.
- Responsabilidad por daños: las entidades que no cumplan con sus obligaciones según NIS 2 también pueden ser responsables de los daños causados por su incumplimiento.
Además, habrá repercusiones para los ejecutivos de nivel C en organizaciones que no cumplen con la Directiva NIS2, incluidas posibles restricciones a los puestos que ocupan dentro de las juntas ejecutivas.
Guía de mejores prácticas para aplicar la NIS2
Las empresas tendrán una serie de requisitos que incluyen tomar medidas en torno a la gestión operativa del riesgo cibernético, la higiene cibernética, la respuesta a incidentes, la notificación de incidentes y la seguridad de la cadena de suministro, la capacitación de los empleados, la implementación de protocolos y políticas de seguridad, la capacitación para la alta dirección, así como la contratación de Seguro cibernético para prevenir la responsabilidad personal de los miembros de la junta directiva y ejecutivos.
Cumplir con regulaciones complejas como la Directiva NIS2 puede ser un reto, pero tener un plan claro simplifica el proceso.
A continuación se muestra una guía de mejores prácticas para lograr el pleno cumplimiento de NIS2, describiendo los requisitos clave:
Paso 1: obtener apoyo de la alta dirección
A pesar de que el cumplimiento de la NIS2 es obligatorio, el apoyo activo de la alta dirección es crucial. Sin su compromiso, el proyecto puede ser lento, insuficientemente financiado y lleno de obstáculos. Es necesario convencer a la alta dirección sobre la importancia de centrarse en el cumplimiento de NIS2.
Paso 2: configurar la gestión de proyectos
El cumplimiento de NIS2 es demasiado complejo para que lo maneje una persona sin autoridad formal, como un administrador de TI. Es necesario un enfoque estructurado de gestión de proyectos, con pasos de implementación claros, hitos, resultados y responsabilidades.
Paso 3: realizar la formación inicial
NIS2 enfatiza la capacitación en seguridad. Al principio del proyecto, es necesario proporcionar capacitación para garantizar que todos entiendan la NIS2, qué se debe hacer y por qué. Esto facilitará un proyecto más fluido en el lanzamiento.
Paso 4: redactar una política de alto nivel sobre seguridad del sistema de información
Aunque NIS2 no lo exige específicamente, un documento de política de alto nivel es una best practice. En él define objetivos, roles, responsabilidades y métricas de éxito de ciberseguridad, garantizando que hay una dirección para el proyecto.
Paso 5: definir la metodología de gestión de riesgos
La gestión de riesgos es compleja y NIS2 tiene requisitos específicos. Una gestión de riesgos necesita un documento metodológico para garantizar el cumplimiento y aclarar cómo se deben gestionar los riesgos dentro de la empresa.
Paso 6: realizar “Risk Assessment and Treatment”
Identificar amenazas potenciales a los sistemas de información, enumerando activos, amenazas y vulnerabilidades relacionadas. Evaluar la probabilidad y gravedad de estos riesgos. Luego, desarrollar estrategias para mitigar los mayores riesgos, implementando las medidas de ciberseguridad definidas en el artículo 21.
Paso 7: redactar y aprobar el plan de tratamiento de riesgos
Crear un plan detallado para implementar medidas de ciberseguridad y obtener la aprobación de la dirección. El Plan de Tratamiento de Riesgos debe enumerar todas las actividades de ciberseguridad, procesos y tecnologías, así como responsables y plazos.
Paso 8: implementar medidas de ciberseguridad
Implementar las medidas de ciberseguridad necesarias basadas en los resultados de la evaluación de riesgos. Esto puede suponer nuevos procesos, actividades, tecnologías y crear diversas políticas de ciberseguridad y procedimientos.
Paso 9: configurar la seguridad de la cadena de suministro
Abordar los riesgos de seguridad relacionados con los proveedores evaluando sus vulnerabilidades, sus procedimientos de desarrollo de software, e inclusión de cláusulas de seguridad en los acuerdos. Monitorizar el estado de la seguridad regularmente.
Paso 10: configurar la evaluación de la eficacia de la ciberseguridad
La alta dirección debe supervisar la implementación de la ciberseguridad. Las best practices incluyen monitoreo continuo, auditorías internas periódicas y revisiones de la gerencia para identificar disconformidades y garantizar medidas efectivas de ciberseguridad.
Paso 11: configurar el informe de incidentes
Uno de los requisitos clave de NIS2 es notificar al INCIBE (National Cybersecurity Institute of Spain) y destinatarios del servicio sobre incidentes significativos. Las empresas deben prepararse para enviar alertas tempranas, incidentes, notificaciones, informes intermedios, informes finales e informes de progreso.
Paso 12: configure una capacitación continua en ciberseguridad
NIS2 requiere capacitación periódica en ciberseguridad para todos los empleados, incluidos los superiores. Es importante elegir temas y formatos de capacitación apropiados para garantizar una formación eficaz y que haya una transferencia de conocimientos sin costes excesivos.
Paso 13: auditoría interna periódica
Si bien no se mencionan en la NIS2, las auditorías internas son recomendadas por ISO 27001 y otros estándares. Ayudan a la alta dirección a supervisar la implementación de la ciberseguridad identificando no conformidades.
Paso 14: revisión periódica de la gestión
Celebrar reuniones formales de revisión de la dirección del proyecto para proporcionar a la alta dirección información relevante sobre ciberseguridad (por ejemplo: informe de medición e informe de auditoría interna). Estas revisiones permiten tomar decisiones clave sobre ciberseguridad.
Paso 15: ejecutar acciones correctivas
Implementar un enfoque sistemático para resolver las no conformidades. Analizar la causa de cada problema y definir actividades para eliminarlo, asegurando que no se repitan disconformidades similares.
Conclusiones
Siguiendo estos pasos, las organizaciones pueden lograr de manera efectiva el cumplimiento de la Directiva NIS 2, mejorar su estado de ciberseguridad y protegerse contra las ciberamenazas en constante evolución.
Todas las empresas españolas sujetas al nuevo marco regulatorio deben estar preparadas para implementar la directiva NIS2 en España. De lo contrario, estarán expuestos a sanciones económicas e incluso a la suspensión de sus actividades o cargos directivos.
Por este motivo, es vital contar con servicios avanzados de ciberseguridad que permitan a las empresas cumplir con todas sus obligaciones y gestionar eficazmente los riesgos a los que se enfrentan. Están en juego la continuidad de su negocio, su reputación y su posición en el mercado.
Aire puede ayudar con algunos de los componentes más tecnológicos, como:
- Auditorías de seguridad para evaluar todos sus sistemas y activos tecnológicos;
- Gestión de vulnerabilidades para detectar y priorizar la mitigación de las debilidades encontradas, incluidas las cadenas de subministro;
- El análisis de riesgos continuo es inherente a su estructura, exposición digital y panorama de amenazas;
- Servicios de Penetration Testing para probar sus estructuras de ciberseguridad y evaluar la efectividad de las medidas implementadas;
- Servicios de respuesta a incidentes para detectar y responder eficazmente a los ciberataques, garantizar la continuidad del negocio y restaurar la normalidad;
- Pruebas de ingeniería social para ayudar a educar a su personal sobre los riesgos que enfrentan diariamente.
- Ayude a crear un plan de continuidad del negocio centrado en servidores y comunicaciones.
Nelson José L. Nogueira
Business Unit Manager – Strategic Outsourcing
