La cuenta atrás para la implantación de la nueva directiva NIS2 ha comenzado. Su transposición al ordenamiento jurídico de los estados miembros de la UE está prevista para el 17 de octubre de 2024. ¿Están las empresas preparadas? La nueva directiva viene a endurecer las medidas de gestión de riesgos y de presentación de informes de incidencias con objeto de mejorar la resiliencia cibernética de las organizaciones de la Unión Europea.
Lo primero que las empresas deben tener en cuenta es que NIS2 sitúa la seguridad del DNS en un lugar crítico, lo que subraya su papel fundamental en la infraestructura digital y su vulnerabilidad ante cualquier tipo de amenaza. La nueva directiva establece: «el mantenimiento y la preservación de un sistema de nombres de dominio (DNS) confiable, resistente y seguro son factores clave para mantener la integridad de Internet y son esenciales para su funcionamiento continuo y estable, del que dependen la economía digital y la sociedad».
NIS2 reconoce el papel estratégico del DNS en el enrutamiento del tráfico entre usuarios y aplicaciones. El DNS garantiza que los usuarios puedan acceder a sitios web y aplicaciones, enviar correos electrónicos y utilizar varios servicios esenciales mediante la traducción de nombres de dominio legibles por humanos en las direcciones IP que los dispositivos utilizan para conectarse.
El problema es que el DNS no nació como un servicio seguro. Todo lo contrario. Se concibió como un servicio abierto y sin conexión, que al no tomar en cuenta los actores maliciosos es muy vulnerable. Por otra parte, un ataque al DNS puede interrumpir gravemente las operaciones precisamente por su papel crítico en la red, con la consiguiente pérdida económica y mala imagen.
Nuevos sectores y multiplicación de las sanciones
NIS2 amplía el rango de sectores implicados y ha endurecido las sanciones. Por tanto, el primer paso para cumplir con la nueva directiva pasa inevitablemente por garantizar la fiabilidad e integridad del DNS. Con esta simple acción se pueden revertir con eficacia los riesgos y responder ante posibles incidentes cumpliendo los mandatos de la nueva directiva, cuyo fin, recordemos, es promover un entorno digital seguro.
Lo que las organizaciones deben tener en cuenta desde ya, son las potenciales implicaciones financieras en el caso del incumplimiento de las obligaciones de gestión de riesgos y presentación de informes de ciberseguridad, que pueden llegar a ser bastante significativas. Es necesario asegurarse de que el papel del DNS en su estrategia de ciberseguridad sea lo suficientemente relevante e importante y se encuentre 100% al día en cuanto a la normativa.
Las consecuencias pueden ser funestas. Multas de hasta un 10% de su facturación anual. Y aún hay más. El nuevo reglamento clasifica a las entidades en dos grupos diferenciados: esenciales e importantes, lo que determinará las medidas de supervisión y las sanciones aplicables a cada categoría.
En este sentido, las entidades esenciales podrían enfrentarse a penas de hasta 10 millones de euros o el 2% de su facturación total mundial si incumplen, mientras que las entidades importantes pueden incurrir en hasta 7.000.000 de euros o el 1,4%. Como novedad, la directiva NIS2 puede responsabilizar con nombre propio a miembros del equipo directivo si se demuestra que se ha producido una negligencia grave tras un ataque informático.
Llegados a este punto, vale la pena recordar que el impacto de los ataques DNS va más allá de las multas. Los ciberataques basados en DNS pueden provocar a corto plazo la inactividad de las aplicaciones, pérdida de productividad, pérdida de clientes, violación de la confidencialidad y un largo etcétera. Según el Informe Inteligencia sobre amenazas al DNS para una defensa proactiva de la consultora IDC, el 90% de las organizaciones ha sufrido más de un ataque DNS con un coste medio valorado en más de un millón de euros.
¿Posibles soluciones? La implementación de una solución de seguridad DNS con inteligencia de amenazas focalizada en el DNS unida a otras medidas de seguridad para mejorar las defensas a la vez que se minimicen los riesgos cibernéticos cumpliendo los nuevos estándares tal y como establece la futura directiva.
En definitiva, la directiva NIS2 viene a reconocer el papel fundamental de la seguridad integral del DNS en la protección de la infraestructura digital contra las amenazas cibernéticas. Es necesario adoptar estrategias de seguridad con el foco puesto en el DNS para reforzar significativamente la resiliencia cibernética y contribuir a un ecosistema de Internet seguro y estable. Es el momento de ponerse a ello.
Diego Solís, Sales Director Iberia & LATAM de EfficientIP
