La Unión Europea puso en marcha el pasado 17 de enero de 2023 la nueva directiva NIS2 (Network & Information Security), subrayando la importancia de la ciberseguridad como componente fundamental de la economía y la sociedad digitales y planteando una mejora en la protección digital de los países miembros. Esta directiva debe ser adoptada por la legislación de todos los Estados miembros de la UE antes del 18 de octubre de 2024, y estos deberán elaborar planes nacionales de seguridad y formar equipos especializados para su implementación.
De cara a facilitar a las empresas españolas la adopción de esta nueva normativa, BeDisruptive ha publicado el informe “‘Cumplimiento de la Directiva NIS2 para organizaciones’, en el que, entre otros contenidos, la compañía detalla una serie de pasos clave para su correcta aplicación:
- Chequear el ámbito de aplicación: El primer paso consiste en evaluar si la NIS2 afecta a la organización, que solo aplica a aquellas entidades que se ajustan a la categoría de “esenciales” o “importantes”.
- Definir medidas: Una vez establecida la obligación de ajustarse a la norma, será necesario definir, mediante un análisis de carencias, cuáles serán las medidas técnicas, operativas y organizativas adecuadas, con referencia al principio de responsabilidad, para proteger los sistemas y redes informáticos, adoptando un enfoque multirriesgo. Se trata de determinar si la organización necesita aplicar medidas, o dónde se debe mejorar, para cumplir los requisitos de la nueva normativa y, al mismo tiempo, determinar si serán necesarias inversiones o nuevas competencias para cumplirla.
- Definir criterios de impacto: A la hora de hacer esta evaluación, no hay que olvidar definir criterios de impacto en la empresa para determinar qué procesos, centros o recursos entran en el ámbito de cumplimiento de la directiva.
- Evaluación del impacto: Una vez definidos los criterios de impacto, deberá realizarse una evaluación del impacto en la empresa para identificar cuáles de estos procesos son críticos y cuál es su dependencia de la red y los sistemas de información.
- Implantar un Sistema de Seguridad de la Información y Gestión de Riesgos: Por último, las empresas que entren en el ámbito de aplicación de la NIS2 tendrán que ser capaces de gestionar los riesgos para la seguridad de la información. Para cumplir este requisito, será necesario implantar un Sistema de Seguridad de la Información y Gestión de Riesgos que haga posible identificar, tratar y controlar esos riesgos, así como garantizar la definición de responsabilidades y el funcionamiento de los procesos clave.
“La NIS2 no solo impone nuevas obligaciones, sino que también ofrece una oportunidad para que las empresas fortalezcan su resiliencia informática”, explica Arturo Belda, Consultancy Director de BeDisruptive. “Es crucial adoptar una mentalidad preventiva a la hora de gestionar y mitigar los riesgos, comprender sus posibles repercusiones en la infraestructura y las operaciones empresariales, así como vigilar de cerca la cadena de suministro para identificar y abordar cualquier vulnerabilidad".
NIS2 y la cadena de suministro
En los últimos años, los ciberataques han afectado a muchos sectores de la cadena de suministro. Según Gartner, para 2025 se espera que el 45% de las organizaciones sufran ataques en su software de cadena de suministro. Esto pone de manifiesto el amplio impacto de los ciberataques y la creciente importancia de la seguridad de la cadena de suministro. De hecho, es más crucial que nunca reconocer que la seguridad digital también está determinada por el nivel de seguridad del socio más débil de la cadena.
“El reglamento NIS2 hace hincapié en la cadena de suministro, estipulando que las organizaciones que presten determinados servicios a entidades cubiertas por la NIS2 tendrán que reforzar su seguridad digital, aunque no estén explícitamente incluidas en el ámbito de aplicación de la directiva. De ello se deduce que es crucial conocer la propia cadena de suministro y evaluar su seguridad de acuerdo con los requisitos del nuevo reglamento, teniendo en cuenta que la mayoría de las infracciones que se producen con éxito tienen su origen en ataques indirectos a organizaciones a través de su cadena de suministro”, finaliza Arturo Belda.
