La nueva directiva europea sobre redes y sistemas de información, NIS2, transpuesta a principios de año al ordenamiento jurídico español, obliga a miles de empresas, tanto públicas como privadas, a adoptar un conjunto de medidas para aumentar su resiliencia y la de la UE en su conjunto.
En concreto, son compañías que operan en un total de 18 sectores, considerados esenciales -como Energía, Banca o Salud– o críticos -como Química, Alimentación o Fabricación-.
El no cumplimiento de esta regulación puede conllevar sanciones de hasta 10 millones de euros o el 2% de la facturación, en el caso de las primeras, y de 7 millones o el 1,4% del volumen de negocio, para las segundas.
Según Juan Francisco Moreda, responsable de /fsafe, la unidad de ciberseguridad de fibratel, “son muchas las entidades, sobre todo las que no estaban reguladas por la norma anterior, la NIS1, las que sienten más presión a la hora de implementar los requisitos de la nueva normativa”.
Los expertos de esta unidad de fibratel han identificado los tipos de soluciones que, en función de la madurez de seguridad de cada organización, serán necesarias para la adecuación a la normativa:
- Gestión de riesgos: las empresas necesitan identificar y evaluar los riesgos para establecer procedimientos que les permitan mejorar su postura de ciberseguridad.
No hay que olvidarse de la evaluación y control de las amenazas procedentes de la nube.
- Respuesta a incidentes y continuidad de negocio: con NIS2 se convierte en necesaria la monitorización para mejorar la detección de amenazas y agilizar la respuesta ante incidencias para evitar la parada de las operaciones.
Con NIS2 se convierte en necesaria la monitorización para mejorar la detección de amenazas y agilizar la respuesta ante incidencias
- Seguridad de la cadena de suministro: las empresas deben proteger sus cadenas de suministro, físicas o digitales, contra posibles ataques.
Aquí entran en juego soluciones de segmentación de red para aislar proveedores, herramientas de evaluación de la seguridad de terceros y productos de protección frente a la suplantación de identidad de proveedores, así como de control de acceso a aplicaciones SaaS de otras empresas.
- Divulgación de vulnerabilidades: la norma exige establecer mecanismos para reportar y gestionar las vulnerabilidades de forma responsable.
- Autenticación multifactor y cifrado de datos en tránsito y reposo: es necesario también aplicar estas técnicas para proteger el acceso y la integridad de la información, con soluciones para este propósito.
- Formación en ciberseguridad: la ley exige políticas de ciberhigiene y formación en ciberseguridad para todos los empleados, tanto para los más técnicos como para el resto de la plantilla.
- Notificación de incidentes: con esta norma, las incidencias importantes tendrán que notificarse en 24 horas y las menos relevantes en 72.
Por tanto, deberán definirse planes efectivos de respuesta y procedimientos claros de notificación.
Las incidencias importantes tendrán que notificarse en 24 horas y las menos relevantes en 72
Existen soluciones que generan alertas automáticas e informes para cumplimiento, y otras que emiten notificaciones en tiempo real de violaciones de políticas, así como herramientas de filtrado de incidentes y de integración de sistemas de ticketing y notificación.
- Gobernanza y responsabilidad de la alta dirección: algo novedoso en esta regulación es que la dirección de la empresa debe asumir responsabilidad directa sobre el cumplimiento.
- Supervisión continua de los sistemas y auditorías de seguridad: la ley lo exige para detectar y corregir posibles fallos.
- Cooperación internacional y sectorial: esto implica compartir la inteligencia de amenazas y una colaboración estrecha con los organismos de ciberseguridad.
