El estándar NIS se convierte en NIS2
La Directiva NIS, Network and Information Security, que entró en vigor en 2016, fue la primera ley de ciberseguridad a escala de la Unión Europea, UE. Su objetivo era lograr un nivel más alto y uniforme de seguridad de las redes y los sistemas de información en toda la UE. No debe confundirse con NIST, Instituto Nacional de Estándares y Tecnología, entidad estadounidense.
Dado el considerable crecimiento de la digitalización y la evolución de las amenazas de ciberseguridad desde entonces, se decidió que era necesario actualizar el estándar. El Consejo y el Parlamento Europeo alcanzaron un acuerdo para reforzar esta normativa comunitaria para mejorar las capacidades de respuesta a incidentes en la Comunidad Europea. De ahí el NIS2 cuya adopción formal está prevista para el 2º semestre de 2022.
De hecho, el crecimiento de la digitalización va acompañado de amenazas cibernéticas cada vez mayores, como lo demuestran las siguientes cifras:
En 2017, Cybersecurity Ventures predijo que los costos globales del daño del ransomware alcanzarían los $20.000 millones en 2021, 57 veces más que en 2015. El mercado global de seguridad tiene actualmente un valor de alrededor de $150.000 millones, una cifra que muchos predicen que aumentará para alcanzar los $208.000 millones en 2023 y $400.000 millones en 2026. Los datos muestran que las organizaciones de la UE gastan de media un 41 % menos en ciberseguridad que sus homólogas estadounidenses.
Cambios en NIS para convertirse en NIS2
Se trata de un importante paso adelante en la definición de los requisitos que las organizaciones de la UE tendrán que cumplir para ser más ciber-resilientes en los próximos años. También detalla claramente las normas de notificación y las consecuencias de la aplicación errónea de dichas normas.
Como ecosistema de la industria de la ciberseguridad, NIS2 se esfuerza por reforzar la cooperación en la UE. La creación de la Red Europea de Organizaciones de Enlace para Cibercrisis (EU-CyCLONe) para apoyar la gestión coordinada de incidentes de ciberseguridad a gran escala a nivel de la UE es bienvenida.
Los requisitos de seguridad mejorados y las medidas específicas incluyen la respuesta a incidentes y la gestión de crisis, el manejo y la divulgación de vulnerabilidades, las políticas y procedimientos para evaluar la efectividad de las medidas de gestión de riesgos de ciberseguridad, y las prácticas básicas de higiene de TI y la capacitación en ciberseguridad. Por ejemplo, las empresas tendrán que notificar a INCIBE dentro de las 24horas si sufren un ciberataque y presentar un informe completo antes de de 72 horas. La ampliación de las obligaciones de ciberseguridad de NIS2 también incluyen el uso efectivo de la criptografía, la seguridad mejorada de los recursos humanos y el control de acceso y las políticas de gestión de activos. El número de sectores cubiertos en NIS2 se ha ampliado para incluir 8 sectores adicionales, con lo que el total asciende a 15.
En vista de NIS2, muchas Consultorías TI sin duda tendrán que volver a priorizar sus presupuestos de 2022 para abordar esta Directiva. El incumplimiento de las nuevas medidas se castigará con una multa de hasta el 2% de la facturación mundial de la compañía. Sólo se trata de empresas con más de 50 empleados.
El estándar NIS2 ayuda a que el nivel de seguridad sea más alto y se adapte al panorama cambiante de las amenazas de ciberseguridad y el aumento de la digitalización. Con requisitos de seguridad mejorados, el estándar NIS2 busca fortalecer la respuesta a incidentes y la gestión de crisis, el manejo y la divulgación de vulnerabilidades, la implementación de políticas y procedimientos para evaluar la efectividad de las medidas de gestión de riesgos de ciberseguridad, la seguridad de recursos humanos, etc. NIS2 es un estándar integral que hace evolucionar la efectividad de la ciberseguridad.
Ricardo Hernández, Country Manager de España y Portugal de Vectra AI
