El 17 octubre de 2024 entrará en vigor la Directiva NIS2, que busca fortalecer la ciberseguridad de las infraestructuras críticas y servicios esenciales en toda la Unión Europea. Es la directiva europea más exigente en la materia, que amplía tanto el tipo de organizaciones que deben asegurar su conformidad como los requisitos planteados.
La experiencia previa con la RGPD en 2018 mostró que muchas organizaciones no estaban preparadas para cumplir con las nuevas regulaciones a tiempo, exponiéndose a sanciones e interrupciones operativas. Para evitar repetir esos errores, es importante que las organizaciones obligadas al cumplimiento de esta regulación comiencen a abordar los cambios necesarios para garantizar el cumplimiento de los principales requisitos.
Hace un año, solo un tercio de las organizaciones (34 %) estaban preparadas para cumplir con la directiva NIS2, de acuerdo con un informe de SailPoint realizado en Alemania, Francia y Reino Unido. Esta cifra subraya la necesidad urgente de concienciar a las empresas sobre los requisitos y las implicaciones de esta normativa. El primer paso para cumplir con NIS2 es entender el alcance de la normativa: introduce cuatro áreas clave de requisitos -gestión de riesgos, responsabilidad corporativa, obligaciones de notificación y continuidad de la actividad-.
Para cumplir con NIS2, las organizaciones deben mapear sus procesos comerciales, infraestructura y dependencias existentes, identificando posibles áreas vulnerables y garantizando que todas las partes de la organización estén alineadas con los nuevos requisitos de ciberseguridad. Es esencial comprender dónde se almacenan los datos, quién tiene acceso a ellos y cuáles son los puntos de contacto críticos en su trayectoria.
El futuro impacto de NIS2
No todas las industrias se verán afectadas por igual por NIS2. Las industrias reguladas, como la banca y la salud, ya cuentan con normativas estrictas de seguridad, por lo que disponen de una buena base para cumplir con NIS2. Sin embargo, otros sectores con sistemas heredados pueden encontrar mayores dificultades debido a la opacidad de sus infraestructuras tecnológicas. En ambos casos, las organizaciones deben adoptar medidas adecuadas y proporcionadas basadas en una gestión de riesgos comprensible, adoptando un enfoque de gestión holístico y orientado a las amenazas con el fin de prevenir los incidentes de seguridad o minimizar su impacto.
Igualmente, deben prestar especial atención a la cadena de suministro ya que, tanto la Directiva NIS2 como otras normas en potencia, como la propuesta de Ley de ciberresiliencia, hacen hincapié en los riesgos provenientes de la cadena de suministro de una entidad y su relación con proveedores. De esta forma, sitúa a los fabricantes en una posición estratégica de cara a la gestión de los riesgos de ciberseguridad.
Gestión del dato, el protagonista del cumplimiento
Las empresas que NIS2 considera esenciales o importantes necesitan apoyarse en un plan de gestión y almacenamiento de datos, para completar su adaptación de forma fácil, en plazo y con garantías, además de optar por un enfoque holístico para garantizar la resiliencia, continuidad y seguridad de sus operaciones. El primer paso es conocer qué datos poseen -desde información personal de clientes hasta datos sensibles- y clasificarlos según su sensibilidad y criticidad, con el objetivo de priorizar recursos.
Una vez identificados y clasificados los datos, es necesario mapear su ubicación y flujo dentro de la organización; saber dónde se almacenan los datos, cómo se mueven a través de los sistemas y quién tiene acceso a ellos en cada punto del trayecto. De esta forma, es posible identificar vulnerabilidades y puntos críticos que pueden ser explotados por ciberataques.
Otra de las exigencias de NIS2 es la protección de datos en reposo y en tránsito, que deben estar cifrados para prevenir el acceso no autorizado en caso de una brecha de seguridad. Los controles de acceso y los protocolos seguros ayudan a evitar el acceso no autorizado y las brechas de datos, alineados con el objetivo de NIS2. La integridad y disponibilidad de los datos son igualmente críticas.
Finalmente, la capacidad de responder de manera eficaz y rápida a incidentes de ciberseguridad es crucial para minimizar el impacto de cualquier brecha. Los planes de respuesta a incidentes deben incluir procedimientos claros para la contención, erradicación y recuperación de datos, y el acceso rápido a instantáneas de datos y backups puede ser decisivo para restaurar servicios y datos críticos, asegurando la continuidad del negocio. La automatización y orquestación de procesos de gestión de datos también pueden reducir significativamente el riesgo de errores humanos, asegurando una correcta aplicación de las políticas de seguridad y mejorando la eficiencia operativa.
Sin duda, la adaptación a NIS2 supone una oportunidad para fortalecer la ciberresiliencia y proteger los activos más valiosos de una organización: los datos. Comenzar ahora, construir conciencia y mapear detalladamente los procesos y dependencias, junto con una gestión del dato eficaz, son pasos fundamentales para garantizar el cumplimiento y evitar sanciones.
José Luis Álvarez Cubero, Executive Architect de NetApp EMEA & LATAM
