La nueva Directiva NIS 2 de la UE sube el listón de la ciberseguridad, especialmente para los sectores de infraestructuras críticas. Pero no se trata solo de actualizaciones tecnológicas, sino que hace hincapié en una fuerte implicación del liderazgo en la creación de una organización ciberresiliente.
¿Qué significa esto para una empresa?
1- Cambio de enfoque hacia la gestión de riesgos
- NIS 2 exige un enfoque de la ciberseguridad basado en el riesgo. Esto significa que las empresas (clasificadas como «esenciales» o «importantes» según la directiva) necesitan un plan claro para identificar, evaluar y hacer frente a las ciberamenazas.
2- Una gobernanza más sólida: su liderazgo en el asiento del conductor
Así es como NIS 2 cambia el juego para el liderazgo:
- La implicación de la dirección: la ciberseguridad ya no puede ser solo una preocupación informática. Los órganos de dirección deben aprobar y supervisar las medidas de gestión de riesgos de ciberseguridad.
- Formación de líderes: aunque los directores generales no tienen por qué ser expertos en ciberseguridad, sí necesitan unos conocimientos básicos. NIS 2 requiere formación de los directivos para que comprendan los ciberriesgos y su impacto en la empresa.
- Concienciación de los empleados: una postura de ciberseguridad sólida requiere la participación de todos. NIS 2 anima a las organizaciones a proporcionar formación periódica en ciberseguridad a los empleados.
3- Responsabilizar a la alta dirección
Tradicionalmente, la carga de la ciberseguridad recaía únicamente en TI. NIS 2 cambia esta situación. Para hacer hincapié en la responsabilidad compartida y reducir la presión sobre TI, la directiva introduce medidas que responsabilizan personalmente a la alta dirección de los fallos de ciberseguridad en incidentes de seguridad graves si hay pruebas de negligencia grave.
Los Estados miembros de la UE ahora pueden exigir responsabilidades a los directivos y exigir a las organizaciones que tomen las siguientes medidas:
- Divulgación pública de las infracciones: se puede exigir a las organizaciones que anuncien públicamente su incumplimiento de NIS 2.
- Denuncia pública: las declaraciones públicas pueden identificar a los individuos (personas físicas y representantes legales) responsables de la infracción.
Para los proveedores de infraestructuras críticas (entidades «esenciales») existen sanciones aún más severas. En caso de infracciones reiteradas por negligencia grave, las autoridades pueden prohibir temporalmente que una persona ocupe un cargo directivo.
Las ventajas de una gobernanza sólida
Estos requisitos no se limitan a castigar, sino que persiguen dos objetivos fundamentales:
- Mayor responsabilidad de los directivos: al responsabilizar a la alta dirección, NIS 2 fomenta un enfoque más proactivo de la gestión de riesgos de ciberseguridad.
- Prevención de negligencias graves: la amenaza de consecuencias personales disuade de descuidar los esfuerzos de ciberseguridad.
En esencia, NIS 2 cambia el arquetipo de responsabilidad en materia de ciberseguridad. Ya no se trata solo de una preocupación informática, sino de un asunto de la sala de juntas con posibles consecuencias para el liderazgo.
Convertir los requisitos en ventajas
Estos requisitos de cumplimiento son una llamada de atención, pero también pueden beneficiar a tu empresa:
- Propiedad clara: la responsabilidad de los líderes fomenta una cultura de responsabilidad en materia de ciberseguridad, garantizando que todos inviertan en la protección de sus sistemas.
- Mejora de la toma de decisiones: con un conocimiento más profundo de los ciberriesgos, la dirección puede tomar decisiones informadas sobre la asignación de recursos y las inversiones en seguridad.
- Enfoque proactivo: el enfoque en la gestión de riesgos fomenta un enfoque proactivo de la ciberseguridad en lugar de limitarse a reaccionar ante los incidentes.
Actuar
Cumplir los requisitos de gobernanza de NIS 2 exige compromiso. He aquí algunos pasos que puedes dar:
- Revisa tu estructura directiva: asegúrate de que tu equipo directivo se responsabiliza claramente de la ciberseguridad.
- Desarrolla un programa de formación: invierte en formación para directivos y empleados con el fin de aumentar la concienciación y la comprensión de las ciberamenazas.
- Integra la ciberseguridad en la gestión de riesgos: considera conjuntamente los riesgos cibernéticos y otros riesgos empresariales para crear un enfoque holístico.
La directiva NIS 2 puede parecer un reto, pero su enfoque en la gobernanza es un paso positivo. Capacitando a los directivos y fomentando una cultura de concienciación sobre la ciberseguridad, las empresas pueden reforzar su defensa contra las ciberamenazas en constante evolución.
Miguel Carrero
VP partner Ecosystem Growth & Strategic Accounts, WatchGuard Technologies
