La Directiva sobre Seguridad de las Redes y los Sistemas Informáticos (NIS2) es la nueva directiva de ciberseguridad de la Unión Europea. Se basa en NIS1 (aprobada en 2016) y crea un estándar sobre medidas de ciberseguridad para garantizar que las redes y los sistemas de información de las empresas europeas se encuentren protegidas frente a las ciberamenazas.

Sin duda, NIS2 supone un importante paso adelante en la configuración de la ciberseguridad corporativa, pero, aun así, es necesario que las organizaciones comprendan cómo cumplir con la normativa y poder beneficiarse de sus resultados. Sobre todo porque el cumplimiento de la directiva implica mucho más que simplemente adquirir nuevas tecnologías: es necesario construir una cultura de seguridad que vaya más allá del departamento del CISO y afecte a toda la organización. Sin ir más lejos, ahora mismo nos encontramos con muchas empresas con dificultades para:

• Detectar rápidamente: el tiempo promedio de acceso por parte de un delincuente (es decir, el tiempo que necesita un adversario para moverse lateralmente desde un acceso inicialmente comprometido) se redujo a 62 minutos en 2023, según el último informe de amenazas globales de CrowdStrike. Es decir, es preciso que las organizaciones sepan cómo detectar y detener las amenazas antes de que se conviertan en incidentes en toda regla.

• Entender la nube: la nube es el nuevo campo de batalla entre los que protegen esta infraestructura y los adversarios. Las intrusiones en la nube aumentaron un 75% en 2023 y los ciberataques relacionados con la nube aumentaron un 110%, según el informe sobre amenazas globales de CrowdStrike. A medida que la adopción de la nube crece, las organizaciones deben comprender y proteger sus entornos de nube.

• Analistas integrados y de nivel superior: las organizaciones enfrentan el desafío de mantenerse al día con un panorama de amenazas cada vez más sofisticado. Dada la actual escasez de habilidades relacionadas con la seguridad y el rápido crecimiento de las superficies de ataque, es importante que las empresas elijan las herramientas y servicios de seguridad adecuados para que los analistas se pongan al día para detectar, identificar y remediar amenazas.

• Administrar herramientas de seguridad heterogéneas: a medida que surgen nuevas amenazas y desafíos de seguridad, muchas organizaciones adoptan productos específicos para abordarlos. Al hacerlo, crean complejidad adicional en sus entornos, nuevos problemas en la gestión de numerosas herramientas y brechas en sus defensas que los adversarios pueden explotar.

A pesar de los desafíos anteriores, el objetivo de las regulaciones NIS2 es fortalecer las capacidades de las organizaciones que operan en la UE y que cumplen funciones críticas para la sociedad y la economía. De hecho, NIS2 tiene entre sus objetivos reducir las inconsistencias al abordar las amenazas de ciberseguridad, aumentar la conciencia sobre la ciberseguridad y mejorar la capacidad de las organizaciones para responder a los incidentes.

Los estados miembros de la UE tienen hasta el 17 de octubre de 2024 para transponer las regulaciones NIS2 a su legislación nacional. Por ello, los líderes empresariales de las organizaciones clasificadas como infraestructuras básicas tienen la responsabilidad de actualizar las prácticas de ciberseguridad de sus empresas. Los costes del incumplimiento podrían ser multas, daños a la reputación y pérdida de clientes.

Más allá de la tecnología: NIS2 afecta a personas y procesos

En cualquier caso, es importante entender también que NIS2 no supone solamente contar con la tecnología necesaria para hacer frente a los ciberataques. También se trata de que las empresas cuenten con mejores prácticas y con una cultura general en la que cada individuo se tome en serio la ciberseguridad.

Por ello, una forma para que los líderes empresariales involucren a su organización en su viaje hacia la ciberseguridad es recordar que cada requisito de NIS2 se reparte en tres categorías: personas, procesos y tecnología.

• Personas: las personas dentro de una empresa se encuentran entre los factores más importantes a la hora de construir una cultura de ciberseguridad sólida. Ya sea trabajando para capacitar a los empleados sobre las mejores prácticas o contratando expertos externos que ofrezcan servicios administrados de respuesta y detección, es preciso reconocer que se necesita una adaptación cultural basada en la protección.

Por eso, ofrecer a los profesionales formación en ciberseguridad desde su entrada en la organización garantiza que la ciberseguridad sea siempre una prioridad para ellos, aunque los empleados no son los únicos que pueden afectar la postura de seguridad de una organización. La organización debe también exigir estas posturas a sus socios.

• Tecnología: es necesario asegurar que la empresa cuenta con la tecnología adecuada para defenderse de cualquier amenaza. La infraestructura tecnológica a menudo se complica a medida que las organizaciones amplían sus sistemas y adquieren nuevas soluciones. Esta expansión tecnológica crea nuevos riesgos, ya que hay más elementos que se deben rastrear y proteger. Elegir una plataforma de seguridad consolidada que ofrezca funciones integradas ayuda a cubrir estos puntos ciegos y agiliza la ciberdefensa.
• Proceso: los procesos de ciberseguridad deben evolucionar constantemente para adelantarse a los adversarios. Esto significa que los líderes empresariales y los CISO necesitan una sólida comprensión de sus procesos de ciberseguridad para ayudar a toda la organización a enfrentar el panorama de amenazas en constante cambio.

Aunque el cumplimiento de la nueva regulación puede suponer un desafío, las empresas que prioricen la ciberseguridad y se adhieran a la directiva NIS2 ahora estarán mucho mejor preparadas para defenderse contra las amenazas de seguridad actuales y emergentes y acelerar el crecimiento durante el próximo año y más allá.