Riesgos si no se cumple la Directiva NIS2
Las organizaciones que no se adapten a la Directiva NIS2 podrían enfrentar multas de hasta 10 millones o el 2 por ciento de su facturación global anual.
España ha experimentado un número creciente de ataques más extensos, intensos y sofisticados. En el primer trimestre de 2024, se ha registrado un promedio de 1.152 ciberataques semanales por empresa, cifra cercana a la media mundial (1.308), según Check Point Research. El aumento constante de ciberataques subraya la necesidad de implementar una normativa más sólida y efectiva para proteger a las empresas.
La aplicación de la Directiva NIS2 por parte de todos los Estados Miembros en octubre de 2024 marca un cambio significativo en los requisitos de ciberseguridad para las compañías en Europa. Check Point Software Technologies, proveedor líder en soluciones de ciberseguridad en la nube basadas en IA, quiere señalar los riesgos específicos que enfrentarán los negocios españoles que no se adapten a tiempo a esta normativa.
Sanciones económicas elevadas: establece sanciones financieras severas, similares a las impuestas por el RGPD. Las entidades esenciales podrán sufrir multas de hasta 10 millones de euros o el 2% de su facturación global anual y, en el caso de las entidades importantes, de hasta 7 millones de euros o un máximo de un 1.4% de su facturación global anual.
• Responsabilidad directiva: obliga a los directivos a aprobar y supervisar las estrategias de gestión de riesgos de ciberseguridad en sus empresas. El incumplimiento puede resultar en responsabilidades personales para los directivos, incluyendo sanciones y la posible suspensión de sus funciones.
• Daño a la reputación: la NIS2 implica un enfoque riguroso en la transparencia y la gestión adecuada de incidentes de seguridad. Una filtración de datos podría dañar gravemente la reputación de una empresa y afectar negativamente a su negocio. Los clientes, socios o incluso empleados afectados pueden emprender acciones legales contra la empresa, lo que no solo tiene consecuencias financieras.
• Interrupciones operativas: que las empresas implementen medidas robustas de ciberseguridad para proteger sus operaciones es un imprescindible en esta nueva normativa. La falta de cumplimiento puede tener una relación directa con las interrupciones operativas de una empresa debido a varios factores. Primero, la falta de cumplimiento deja a la empresa más vulnerable a ciberataques, aumentando la probabilidad de sufrir paradas significativas. Además, sin los procedimientos y protocolos de gestión de incidencias establecidos por la NIS2, la empresa puede tener dificultades para responder rápidamente y de manera efectiva a una brecha, prolongando el tiempo de inactividad. Asimismo, sin planes de recuperación ante desastres y copias de seguridad, la restauración de datos y sistemas críticos puede ser problemática.
• Desventajas competitivas: promueve un alto estándar de prácticas de ciberseguridad que será un diferenciador en el mercado, pero las empresas que no cumplan con estos estándares podrían verse superadas por competidores que sí lo hagan, resultando en una pérdida de competitividad y cuota de mercado.
• Complicaciones en la gestión de la cadena de suministro: la normativa NIS2 requiere una evaluación y gestión de los riesgos de seguridad en toda la cadena de suministro. El incumplimiento puede llevar a vulnerabilidades no detectadas que afecten no solo a la empresa, sino también a sus socios, lo que aumenta el riesgo de incidentes de seguridad y sus consecuencias legales y económicas. Esto lleva a la pérdida de confianza de socios comerciales y puede suponer que se rescindan algunos acuerdos comerciales. Además, la recuperación de ciberataques aumenta los costes operativos y el riesgo de propagación a lo largo de la cadena de suministro, afectando a múltiples entidades interconectadas. Asimismo, puede generar complicaciones legales y contractuales, impactar la calidad del producto y dañar la reputación y competitividad de la empresa, afectando significativamente su cadena de suministro.
Adaptarse a tiempo a la Directiva NIS2 es crucial para cualquier empresa que opere en la UE. No solo evita riesgos legales y financieros, sino que también establece la base para operaciones seguras y confiables en un entorno digital cada vez más amenazante. Las empresas deben actuar ahora para garantizar que están preparadas para cumplir con estas normativas en 2024.
"Cumplir con NIS2 no es solo una obligación regulatoria, sino una necesidad estratégica para proteger a las empresas contra el creciente panorama de ciberamenazas”, concluye Mario García, director general de Check Point para España y Portugal.