En un contexto de aumento drástico de la ciberdelincuencia y un panorama de amenazas en constante evolución, los Estados y las organizaciones supraestatales se esfuerzan por dotarse de medios técnicos avanzados para luchar contra estas amenazas, apoyándose en herramientas legislativas.

Así, en diciembre de 2022, la Unión Europea (UE) adoptó la segunda versión de su Directiva de Seguridad de las Redes y de la Información (conocida como NIS 2), cuyo propósito es reforzar las ciberdefensas de las empresas. El objetivo es protegerse aún mejor contra los ataques y limitar el impacto de posibles incidentes en quienes los sufren y en los usuarios.

No obstante, esta nueva normativa es un arma de doble filo, ya que pretende reforzar la ciberseguridad imponiendo nuevos requisitos a las "entidades esenciales e importantes" y ampliando el ámbito de aplicación de la Directiva a otros sectores industriales. Estas empresas deberán cumplir con los nuevos requisitos antes del 17 de octubre de 2024, fecha en la que los Estados miembros de la UE deberán adoptar los requisitos técnicos y metodológicos establecidos en la Directiva y, a partir de entonces, la NIS 1 quedará derogada.

Amplia regulación de la ciberseguridad en Europa

Esta es también la fecha en la que la Directiva se transpondrá a la legislación española. La introducción de estas nuevas obligaciones, así como los nuevos mecanismos de aplicación, están obligando a las organizaciones afectadas a revisar su estrategia de ciberseguridad y sus herramientas para cumplir la normativa.

Con la introducción de un nuevo paradigma a la Directiva NIS 1 en 2016, la NIS 2 amplía el alcance, la aplicación y el cumplimiento de la normativa a un total de 18 sectores empresariales públicos y privados. 

Además de los sectores esenciales contemplados por la versión anterior, como la energía, la sanidad, el transporte o las infraestructuras bancarias y financieras, las obligaciones de cumplimiento se extenderán ahora a otros ámbitos de actividad, como los servicios postales y de mensajería, la gestión de residuos, el sector industrial, transformación y distribución de productos críticos, la investigación, la gestión de servicios de tecnologías de la información y la comunicación (TIC) y determinados proveedores de soluciones digitales.

Todas las empresas involucradas se dividen en "entidades esenciales", como las Administraciones públicas, los proveedores de redes o servicios públicos de comunicaciones electrónicas y muchas otras, y "entidades significativas", que incluyen las empresas definidas como "significativas" por los Estados miembros.

Por último, la "infraestructura digital" se menciona como una categoría separada en la directiva. Las tres categorías se aplican a un determinado tamaño de empresa que opera en cada sector, en función del número de empleados y del volumen de su balance anual.

En concreto, sólo se aplica a las empresas con 50 o más empleados, o a las que tienen un balance o un volumen de negocios anual superior a 10 millones de euros; aunque también se hace extensiva a otros players, independientemente de su tamaño. No obstante, las empresas afectadas deberán tener en cuenta las medidas de seguridad de su cadena de suministro descendente.  

Sin embargo, en términos de ciberseguridad, estas empresas afectadas a partir de ahora por la directiva no disponen necesariamente de soluciones o políticas adecuadas y conformes.

Como resultado, con la proliferación de ofertas y soluciones disponibles en el mercado, algunas pueden encontrarse perdidas en cuanto a qué solución adoptar para cumplir con la NIS 2. ¿Y si la solución fueran las soluciones de ciberseguridad gestionadas?

Ciberseguridad al servicio de sus clientes

Desgraciadamente, la entrada en vigor de la directiva NIS 2 en España no es el único reto al que se enfrentan las empresas. De hecho, también tienen que lidiar con problemas presupuestarios y con una escasez de talento que lleva varios años haciendo estragos en el sector de la ciberseguridad.

Un estudio del ISC2 revela que la escasez de mano de obra alcanzó la cifra récord de 4 millones de personas en 2023, mientras que los profesionales en este campo han aumentado casi un 10% en el último año.

Las medidas introducidas por la NIS 2 exigirán mucho más de las empresas; tendrán que poner en marcha políticas de análisis de riesgos, formación para los empleados y una mejor gestión de los incidentes.

Estos imperativos corren el riesgo de minar a unos equipos de ciberseguridad ya desbordados. Según un informe de Gartner, se espera que casi la mitad de los responsables de seguridad cambien de trabajo de aquí a 2025, y que el 25% de ellos desempeñe funciones completamente distintas, debido a los factores de estrés.

Ante esta situación, las empresas deben recurrir a soluciones que les ahorren tiempo y les aporten tranquilidad. Las soluciones As-a-Service responden a estas prioridades, entre otras, combinando tecnologías y servicios humanos para aligerar la carga de trabajo de los equipos de ciberseguridad.

Apostar por los servicios gestionados es la garantía para las empresas de contar con un equipo de expertos, especialistas en la caza de amenazas, cuya función es analizar y detectar las amenazas 24 horas al día, 7 días a la semana. La tecnología de detección que combina automatización e integración permite a los expertos recibir alertas de seguridad sobre los eventos más críticos, evitando al mismo tiempo los falsos positivos.

Por otro lado, además de reforzar el nivel de ciberseguridad de las empresas que ahora deben cumplir esta directiva, también les permitirá cumplir mejor los requisitos de notificación de incidentes de ciberseguridad ante las autoridades reguladoras. Así mismo, deberán evitar las multas por incumplimiento, que pueden ascender hasta el 2% de la facturación anual.

Adoptar una solución gestionada por equipos de especialistas debería permitir a las empresas abordar la aplicación de esta nueva normativa con tranquilidad. Se trata de una decisión que concierne a los CTO y a los CISO, pero también y más ampliamente a los responsables de las empresas, ya que, con la introducción de la directiva NIS 2, estos últimos podrán ahora ser considerados personalmente responsables de posibles violaciones de ciberseguridad e incidentes de TI, lo que dará lugar a sanciones individuales.

***Ricardo Maté es vicepresidente para el Sur de Europa de Sophos.