Prepararse para la directiva NIS 2
La normativa recientemente reformada sobre ciberseguridad de la Unión Europea, conocida como Directiva NIS2, tiene el objetivo de renovar positivamente el posicionamiento general dentro de este ámbito en todos los estados miembros.
Según expertos de la empresa líder en ciberseguridad y cumplimiento normativa Proofpoint, la NIS2 lo deja claro: las grandes multas, la posible suspensión del servicio y la supervisión del cumplimiento se están utilizando como palancas para animar a las organizaciones responsables de servicios críticos a prestar atención a las amenazas de ciberseguridad y su respuesta a las mismas. Así, se ha establecido una base en gestión de riesgos y medidas de mitigación, incluida la gestión de incidentes, la formación del personal, la responsabilidad de los líderes y muchas otras.
“El punto de partida de lo que es aceptable para proteger a los ciudadanos, mantener las operaciones en las organizaciones y seguir siendo resistentes ha cambiado”, declara Carl Leonard, estratega de ciberseguridad para la región de EMEA en Proofpoint. “Prepararse para la directiva NIS 2 no va de ver qué se puede hacer, sino de cómo ir más allá de esa base y aprovechar este esfuerzo como ventaja competitiva”.
Como pasos que las empresas deben dar internamente para cumplir la normativa, lo primero y más importante es comprobar si su sector, subsector y tamaño entran en el ámbito de aplicación de la NIS 2 y si se han registrado. En los artículos 21 y 23 de la NIS 2 aparece la lista de medidas de gestión de riesgos y obligaciones de información exigidas. Según los expertos en ciberseguridad de Proofpoint, la ambigüedad en torno a la aplicación práctica de cada medida brilla por su ausencia: “Si falta una pieza del rompecabezas, el cumplimiento puede ser dudoso y las peores defensas quedarían expuestas. Las organizaciones deben esforzarse por embarcarse en un viaje de ciberseguridad de mejora continua para mantenerse un paso por delante de los ciberdelincuentes y listas para responder a los peligros actuales y futuros”.
Desde Proofpoint prevén que las organizaciones recibirán mejor apoyo gracias a los esfuerzos coordinados de la Unión Europea. “Esto incluirá inteligencia compartida sobre amenazas, un mayor nivel común de ciberseguridad y una mentalidad de ‘estamos juntos en esto’. Es una buena noticia para organizaciones que deseen seguir siendo eficaces ante el desafiante panorama de amenazas y para ciudadanos que se benefician de su servicio”, dice Carl Leonard.
A partir de ahora, las organizaciones afectadas buscarán orientaciones más claras sobre lo que constituye una gestión aceptable de incidentes, por ejemplo, para demostrar a auditores y autoridades qué medidas técnicas, operativas y organizativas adecuadas y proporcionadas han implantado. “Es de esperar que haya más claridad a finales de octubre de este año y seguramente se sentarán precedentes cuando las empresas sean llamadas al orden”, apuntan desde Proofpoint. No obstante, el espíritu y el énfasis de la directiva NIS 2 mantienen que las organizaciones necesitan comprender sus capacidades y lagunas actuales, además de explorar qué pueden hacer para mejorar su ciberresistencia y ciberseguridad con el fin de gestionar riesgos, continuar sus operaciones y minimizar el impacto de los incidentes.