En un entorno digital en constante evolución, donde el cibercrimen ha alcanzado niveles de sofisticación sin precedentes, la Unión Europea ha respondido con la Directiva NIS 2. Esta nueva normativa, vigente desde octubre de 2024, redefine el panorama de la ciberseguridad al establecer estándares más estrictos y responsabilidades más claras para las empresas. España ya cuenta con el Esquema Nacional de Seguridad (ENS), vigente desde 2010, que también estipula políticas y procedimientos para que la información gestionada por entidades públicas y privadas esté garantizada. No obstante, nuestro país, aunque aún pendiente de adaptar su marco legislativo a la NIS 2, no está exento de las implicaciones inmediatas de esta regulación, muy alineada, a su vez, con el ENS.
La expansión del alcance: no solo infraestructuras críticas
La Directiva NIS 2 amplía su foco más allá de las infraestructuras críticas tradicionales (como energía o transporte), incorporando sectores estratégicos como servicios digitales, la industria alimentaria, química y la gestión de residuos. Este enfoque responde a la realidad actual: cualquier organización puede ser un objetivo atractivo para los ciberdelincuentes, no solo por su tamaño o datos sensibles, sino por la facilidad con la que puede ser atacada. Tenemos un ejemplo reciente en el Instituto Nacional de Investigación y Tecnología Agraria (INIA – CSIC) que, tras sufrir un ataque del tipo ransomware, ha perdido por parte de sus investigadores el acceso a internet y a la red interna.
La democratización del cibercrimen con servicios como el Hacking as a Service permiten además a cualquier interesado, incluso sin conocimientos técnicos avanzados, acceder a herramientas para perpetrar ataques. Esto multiplica las amenazas, especialmente para las pymes, que son más vulnerables entre otras cosas por su menor inversión en ciberseguridad.
Más allá de la tecnología: cultura y estrategia de ciberseguridad
El cumplimiento de la NIS 2 exige más que tecnología avanzada; implica un cambio cultural dentro de las empresas. La normativa subraya la importancia de estrategias integrales de gestión de riesgos que abarcan desde medidas técnicas y operativas hasta protocolos organizativos. Un elemento novedoso es la responsabilidad directa de la alta dirección, quienes deben supervisar activamente los planes de ciberseguridad y recibir formación para entender los riesgos y su mitigación. Esta obligación no solo refuerza la seguridad interna, sino que también protege la reputación corporativa y garantiza la continuidad operativa frente a incidentes.
Un aspecto particularmente relevante es el énfasis en las amenazas emergentes, como el uso de inteligencia artificial para ataques de phishing más sofisticados. Este enfoque apunta a preparar a las empresas para un panorama de amenazas en constante cambio y refuerza la necesidad de una ciberresiliencia proactiva.
Sin embargo, adoptar una cultura de ciberseguridad efectiva es un desafío. Según el Observatorio de Competitividad Empresarial realizado por la Cámara de Comercio de España, solo el 56% de las pymes cuenta con un plan de seguridad digital, en comparación con más del 80% de las grandes empresas. Este déficit debe abordarse con urgencia mediante una estrategia que integre formación, planes de respuesta ante incidentes y procedimientos de crisis. En un escenario en el que más del 60% de las pymes no sobreviven seis meses después de un ataque significativo, la planificación es la llave del éxito. Para lo que es fundamental contar con un Plan Director con el que diseñar una estrategia y monitorizar continuamente las medidas implementadas para que estén actualizadas y sean efectivas.
Lo primero que hay que hacer es una evaluación de riesgos y vulnerabilidades que nos permita trazar, a posteriori, un plan de acción con el que implementar las medidas necesarias para prevenir y gestionar los incidentes. Un punto clave es la predicción. Detectar o responder a un ataque implica haber llegado tarde, cuando a día de hoy, ya es posible predecir dónde, cómo y cuándo se va a producir el ataque situándonos un paso por delante del ciberdelincuente.
Por ello, más que un reto, la Directiva NIS 2 es una oportunidad. Implementar medidas como la automatización de la respuesta ante incidentes, la predicción de ataques y la técnica de Deception (La Deception Technology se basa en la idea de crear un entorno de engaño para los atacantes. Este entorno consiste en activos falsos, como servidores, aplicaciones y datos, que parecen ser reales pero en realidad están controlados por los equipos de seguridad) puede mejorar significativamente la resiliencia operativa. En un mercado cada vez más competitivo, estas acciones no solo cumplen con la normativa, sino que posicionan a las empresas como referentes en sus sectores.
Además, los incentivos son claros: evitar multas que pueden llegar al 2% de la facturación anual global o hasta 10 millones de euros y proteger la continuidad del negocio. ¿Qué implica para las empresas españolas? Actuar ya y adaptarse a las exigencias de la normativa antes de su plena transposición nacional.
Conclusión: actuar ahora para liderar mañana
La Directiva NIS 2 simboliza un cambio de paradigma en la ciberseguridad empresarial. En lugar de ver esta regulación como una carga, las empresas deben abordarla como una estrategia integral para protegerse y fortalecer su posición en un mercado globalizado y digitalizado. Formar a los equipos, desarrollar planes directores y adoptar tecnologías avanzadas son pasos esenciales.
En un mundo donde el cibercrimen no da tregua, la respuesta debe ser un compromiso claro con la ciberseguridad, no solo como defensa, sino como ventaja competitiva.
Dani Marín, Manager de Soluciones de Cybersecurity Vodafone Business
