La nueva directiva europea sobre redes y sistemas de información (NIS2), transpuesta al ordenamiento jurídico español a principios de este año, obliga a miles de organizaciones, tanto públicas como privadas, a adoptar medidas que refuercen su resiliencia y la del conjunto de la Unión Europea.
La norma afecta a empresas que operan en 18 sectores considerados esenciales —como energía, banca o salud— y sectores catalogados como críticos —como alimentación, industria química o fabricación—. El incumplimiento puede acarrear sanciones de hasta 10 millones de euros o el 2% de la facturación anual, en el caso de las empresas esenciales, y de hasta 7 millones o el 1,4% en el caso de las críticas.
Según Juan Francisco Moreda, responsable de /fsafe, la unidad de ciberseguridad de fibratel, “muchas empresas que no estaban sujetas a la anterior normativa (NIS1) están experimentando una mayor presión para adaptarse a los requisitos actuales. Vemos especialmente afectadas a las medianas empresas, que suelen contar con presupuestos más ajustados y menos recursos internos para abordar estos cambios”.
Entre las tecnologías que pueden facilitar el cumplimiento de NIS2, fibratel destaca las siguientes:
- Gestión de riesgos: Soluciones que permitan identificar y evaluar riesgos técnicos y humanos, establecer políticas de seguridad centralizadas y tener visibilidad completa de los sistemas, incluyendo entornos en la nube.
- Respuesta ante incidentes y continuidad de negocio: Herramientas que detecten amenazas en tiempo real, generen alertas automáticas y faciliten una respuesta rápida para evitar interrupciones en la actividad.
- Seguridad en la cadena de suministro: Tecnologías para segmentar redes, evaluar la seguridad de terceros y protegerse frente a suplantaciones de identidad o accesos no autorizados a aplicaciones SaaS.
- Gestión de vulnerabilidades: Soluciones que ayuden a identificar vulnerabilidades explotables, configuraciones inseguras y que integren inteligencia de amenazas y bases de datos de CVEs.
- Autenticación multifactor y cifrado: Tecnologías que aseguren el acceso a la información y protejan los datos tanto en tránsito como en reposo.
- Formación en ciberseguridad: Plataformas para formar y concienciar a los empleados, incluyendo simulaciones de ataques y alertas en tiempo real para usuarios que incumplan las políticas.
- Notificación de incidentes: Herramientas que automaticen alertas, generen informes de cumplimiento y faciliten la integración con sistemas de gestión de incidencias, dado que la directiva exige notificar incidentes graves en un plazo de 24 horas.
- Gobernanza y responsabilidad de la alta dirección: Soluciones que proporcionen informes ejecutivos y visibilidad sobre el riesgo humano y la exposición de directivos, ya que la normativa exige que la dirección asuma la responsabilidad del cumplimiento.
- Supervisión continua y auditorías: Sistemas de monitorización, telemetría y análisis forense que ayuden a detectar fallos de seguridad y ofrezcan visibilidad sobre el tráfico cloud o las TI en la sombra.
- Colaboración sectorial e internacional: La directiva promueve el intercambio de inteligencia de amenazas y la cooperación con organismos de ciberseguridad.
La adecuación a la directiva NIS2 implica adoptar un enfoque integral que combine tecnología, procesos y formación. Contar con herramientas adaptadas a cada entorno, así como con una estrategia clara de cumplimiento, puede marcar la diferencia a la hora de garantizar la continuidad del negocio y proteger los activos digitales frente a amenazas cada vez más sofisticadas.