Directiva NIS 2 – ¿Cuáles son los nuevos requisitos y por qué cambian las reglas del juego?

Directiva NIS 2 – Qué nuevos requisitos y por qué cambia las reglas del juego

La Directiva NIS 2 (Network and Information Security 2) marca un importante punto de inflexión en la regulación de la ciberseguridad en Europa. Adoptada a finales de 2022 y cuya transposición a la legislación nacional está prevista para octubre de 2024(Directiva NIS 2: 5 puntos clave), amplía considerablemente el ámbito de aplicación de la primera Directiva NIS de 2016. Su ambición es reforzar la ciberresiliencia de sectores vitales frente a las crecientes amenazas digitales. En concreto, la NIS 2 impone nuevos requisitos a las empresas consideradas esenciales o importantes en 18 sectores de actividad (energía, transporte, sanidad, finanzas, agua, infraestructura digital, agroalimentación, administración, etc.), frente a solo unos 7 sectores cubiertos por la NIS 1. En Francia, por ejemplo, el número de entidades sujetas a estas obligaciones pasará de unas 300 (con la NIS 1) a casi 10.000 con la NIS 2(Enjeux et points clés de la Directive NIS 2 pour votre organisation – Onet France). A escala europea, se calcula que se verán afectadas 160.000 organizaciones, sin contar sus ecosistemas de proveedores(Directiva NIS2: 5 puntos clave), lo que supone multiplicar por diez su ámbito de aplicación(Las empresas y administraciones francesas en el centro de la Directiva NIS 2 | Archimag). Por tanto, cualquier empresa mediana o grande (con 50 empleados o más y unos ingresos de 10 millones de euros o más) que opere en uno de estos sectores críticos puede estar sujeta a la Directiva NIS 2(Directiva NIS 2: Impacto en las PYME y los proveedores).

Aumento de las ciberamenazas, mayor respuesta normativa

¿Por qué este endurecimiento de la normativa? En los últimos años, los ciberataques no han dejado de multiplicarse y de aumentar su impacto. En 2022, el 45% de las empresas francesas declararon haber sido víctimas de un ciberataque, es decir, casi una de cada dos(Las empresas y administraciones francesas en el centro de la Directiva NIS 2 | Archimag). El ransomware, el robo de datos y el sabotaje digital afectan indiscriminadamente a hospitales, fábricas, autoridades locales, operadores energéticos y de transporte, poniendo en peligro servicios esenciales para los ciudadanos. Ante esta amenaza creciente, la Unión Europea ha considerado necesarioarmonizar y endurecer las normas de ciberseguridad. La directiva NIS 2 pretende corregir las deficiencias de la NIS 1 ampliando su ámbito de aplicación (nuevos sectores cubiertos, inclusión de numerosas PYME estratégicas) y especificando unas obligaciones mínimas comunes para todas las entidades afectadas.

Los requisitos clave de la NIS 2 se basan en cuatro pilares: análisis de riesgos y medidas de seguridad, responsabilidad de la dirección, gestión y notificación de incidentes y continuidad de las actividades(Requisitos de la NIS 2 | 10 medidas mínimas que deben abordarse) (Requisitos de la NIS 2 | 10 medidas mínimas que deben abordarse). En la práctica, esto significa que toda organización que entre en el ámbito de aplicación de NIS 2 debe, entre otras cosas :

• Adoptar un enfoque global de la gestión de los ciberriesgos: realizar análisis de riesgos periódicos, definir políticas de seguridad para los sistemas de información y desplegar medidas de protección proporcionales a las amenazas (control de acceso, seguridad reforzada de la red, etc.)(Requisitos NIS2 | 10 Medidas mínimas que deben abordarse).

• Implantar medidas «básicas» de ciberseguridad técnica y organizativa: plan de respuesta a incidentes, política de copias de seguridad y recuperación de desastres, gestión de vulnerabilidades, cifrado de datos sensibles, autenticación multifactor para accesos críticos, higiene informática y formación del personal(Requisitos NIS2 | 10 Medidas mínimas a tener en cuenta). La Comisión Europea especificará los marcos técnicos de referencia aplicables a finales de 2024 para armonizar estas medidas.

• Supervisar la seguridad de su cadena de suministro (proveedores): garantizando que los propios proveedores de servicios críticos aplican un nivel de seguridad adecuado, evaluando los riesgos de terceros y teniendo visibilidad sobre todos sus proveedores y subcontratistas desde el punto de vista de la ciberseguridad(Requisitos NIS2 | 10 Medidas Mínimas a Abordar).

• Detectar y notificar incidentes rápidamente: disponer de un proceso interno para identificar incidentes con un impacto significativo e informar a las autoridades en plazos estrictos (notificación inicial en 24 horas, informe completo en 72 horas)(Directiva NIS 2: Impacto en PYME y proveedores).

• Prepararse para la continuidad de la actividad: elaborar planes para garantizar que los servicios puedan seguir funcionando en caso de un ciberataque importante, por ejemplo mediante un Plan de Recuperación de Desastres (DRP) probado periódicamente, sistemas de reserva y un equipo de gestión de crisis(Directiva NIS2: Impacto en PYME y proveedores).

¿Qué impacto tendrá esto en los directores de TI y los CISO?

NIS 2 representa un reto estratégico y operativo para los directores de sistemas de información (DSI) y los responsables de seguridad (CISO). Por un lado, es importante darse cuenta de que el cumplimiento de esta directiva es ahora obligatorio para un amplio abanico de empresas, incluidos actores con poca experiencia en la regulación de la ciberseguridad, como ciertas industrias manufactureras, la gestión de residuos y la investigación. Por tanto, el primer paso consiste en determinar si su organización entra en el ámbito de aplicación(entidad esencial o significativa). En caso afirmativo, el CISO deberá dirigir un programa de conformidad transversal, movilizando no sólo a los equipos informáticos, sino también a la dirección general, las líneas de negocio, la gestión de riesgos y los socios externos.

El mensaje para la alta dirección es claro: la ciberseguridad ya no es solo una cuestión técnica, es una responsabilidad corporativa al más alto nivel. La NIS 2 también responsabiliza en mayor medida a los órganos de dirección en este ámbito. En caso de violación grave, los altos directivos pueden ser considerados personalmente responsables en caso de negligencia probada(Cuestiones y puntos clave de la Directiva NIS 2 para su organización – Onet France). Las sanciones incluyen fuertes multas (hasta 10 millones de euros o el 2% del volumen de negocios anual mundial para las entidades esenciales)(Directiva NIS2: 5 puntos clave)(Enjeux et points clés de la Directive NIS 2 pour votre organisation – Onet France), y la posible inhabilitación temporal para ejercer funciones directivas(Directiva NIS2: 5puntos clave). En otras palabras, el cumplimiento de la Directiva NIS 2 debe estar en la agenda del Director General y del Consejo de Administración, del mismo modo que las obligaciones financieras o legales.

Además, el trabajo que implica el cumplimiento de los requisitos es considerable y requiere suficiente previsión. Será necesario llevar a cabo una auditoría del estado actual de la seguridad para identificar cualquier laguna en relación con los requisitos de la NIS 2: políticas formalizadas, documentación de procesos, herramientas de detección, planes de respuesta, etc. Puede ser necesario invertir (en soluciones de detección de incidentes, cifrado o formación del personal, por ejemplo). Algunas empresas están subestimando la tarea: un estudio reciente muestra que el 80% de los responsables de TI confía en cumplir los requisitos a tiempo, pero sólo uno de cada dos cree que sus equipos entienden perfectamente los requisitos de NIS 2 y que su alta dirección los conoce bien ([Infografía] NIS2: las empresas entre la confianza y los retos). Este desfase supone un riesgo de retrasos si no se moviliza ahora suficientemente a todas las partes interesadas.

Soluciones y buenas prácticas para hacer frente a los NEI 2

La clave para los CIO/CIO esabordar el NIS 2 como un proyecto interempresarial y no como una simple casilla de verificación. He aquí algunas de las mejores prácticas para gestionar esta transición:

• Evalúe la elegibilidad y el alcance: compruebe primero si su organización está afectada y en qué calidad (entidad principal o esencial). Los simuladores en línea, como el que ofrece la ANSSI(Directiva NIS 2: Impacto en PYME y proveedores), pueden ayudarle a hacerlo. Identifique qué filiales, departamentos o tipos de actividad entran en el ámbito de aplicación.

• Consiga el apoyo de la dirección: Presente los retos de la NIS 2 a su alta dirección (CIO, CEO, comité de dirección). Explique los riesgos (sanciones, impacto en caso de incidente) y las oportunidades (aumento de la resistencia, confianza de los clientes). El objetivo es nombrar a un patrocinador a nivel ejecutivo y, si es posible, formalizar la gobernanza del proyecto (comité de dirección que incluya a los departamentos comercial, jurídico, etc.). La cultura empresarial debe evolucionar hacia una mayor concienciación cibernética a nivel directivo.

• Haga balance y elabore una hoja de ruta: Realice un diagnóstico completo de su postura en materia de ciberseguridad en relación con los requisitos de la NIS 2. Por ejemplo, ¿dispone de un mapa actualizado de sus activos y sistemas críticos? ¿Una política de seguridad formalizada y aprobada por la dirección? ¿Un plan de respuesta a incidentes probado? Para cada requisito, evalúe el nivel de cumplimiento y las lagunas que deben colmarse. A continuación, priorice sus acciones: algunas medidas técnicas pueden llevar tiempo (despliegue de autenticación fuerte, segmentación de la red, etc.), al igual que la implantación de un plan completo de recuperación en caso de catástrofe o la negociación de cláusulas de seguridad con sus proveedores.

• Refuerce gradualmente las medidas de seguridad: basándose en el análisis de riesgos, implante o mejore los controles necesarios. Por ejemplo, si las copias de seguridad y la recuperación en caso de catástrofe son insuficientes (lo que suele ser el caso: sólo el 20% de las empresas tienen un DRP totalmente operativo y probado(Resiliencia: ¡el 80% de las empresas no tienen un DRP real!)), es una prioridad. Aunquela autenticación multifactor no se utiliza ampliamente para el acceso sensible, es una medida que debe aplicarse sin demora (las contraseñas comprometidas siguen siendo un importante vector de ataque). Reforzar también la vigilancia y la detección de amenazas: NIS 2 va de la mano de la capacidad de detectar rápidamente los incidentes, a través de un SOC interno o externalizado, por ejemplo.

• Formalizar los procedimientos y la documentación: parte del cumplimiento de la normativa consistirá en poder documentar sus acciones. Elabore las políticas necesarias (política de seguridad de SI, política de gestión de vulnerabilidades, procedimiento de notificación de incidentes, etc.). Establezca registros o herramientas para supervisar la aplicación de estas políticas (por ejemplo, registro de incidentes de seguridad, registro de activos críticos, actas del comité de supervisión cibernética, etc.). Esta documentación será útil en caso de auditoría por parte de la autoridad competente.

• Sensibilizar y formar: Implemente un plan de formación en ciberseguridad para sus empleados, adaptado a su función. La directiva insiste en la importancia de concienciar a los equipos(ciberhigiene)(Requisitos NIS2 | 10 Medidas Mínimas a Abordar) e incluso incluye entre las obligaciones la formación de los órganos de dirección(Requisitos NIS2 | 10 Medidas Mínimas a Abordar). Así que asegúrate de que los altos cargos reciben una sesión informativa mínima sobre sus nuevas responsabilidades y de que todo el personal recibe formación periódica (sesiones, aprendizaje electrónico, ejercicios de phishing simulado, etc.).

• Probar y mejorar continuamente: Piense en el cumplimiento de la NIS 2 como un proceso iterativo. Pruebe regularmente sus sistemas (ejercicios de crisis cibernética, pruebas de restauración de copias de seguridad, auditorías técnicas tipo pentest de sus sistemas críticos, etc.). Cada prueba le permitirá identificar áreas de mejora. Supervise los indicadores de ciberseguridad (KPI) a lo largo del tiempo e informe periódicamente a la dirección sobre los avances y los aspectos que deben vigilarse.

Siguiendo estos pasos, las empresas pueden convertir la obligación de la NIS 2 en una oportunidad para aumentar su madurez en materia de seguridad. Es cierto que la ANSSI ha indicado que quiere apoyar a las organizaciones de forma gradual (proporcionando hasta 3 años de tolerancia antes de aplicar sanciones de forma estricta(Directiva NIS 2: Impacto en PYME y proveedores)), pero esto no significa que debamos esperar. Al contrario, aprovechar este tiempo para adelantarse a los acontecimientos reforzará su capacidad de resistencia. Es más, lograr el cumplimiento de la NIS 2 puede reportar beneficios tangibles: reducción del riesgo de un ciberincidente grave, mejora de la reputación ante clientes/socios, alineación con otras normas (ISO 27001, PCI-DSS, etc.) e incluso una ventaja competitiva si sus competidores tardan en ponerse al día.

Cómo afrontan estos retos las soluciones Smart Global Governance

Smart Global Governance ofrece una plataforma integrada de gobierno, gestión de riesgos y cumplimiento (GRC) que puede facilitar en gran medida su cumplimiento de la NIS 2. Dada la complejidad de esta nueva normativa (una de las 950 nuevas normativas del mundo empresarial en cinco años ), es crucial dotarse de herramientas eficaces para gestionar el cumplimiento en todos los ámbitos. La solución modular de Smart Global Governance le ayuda a centralizar y orquestar todo el programa NIS 2:

• Mapeo y evaluación de riesgos: gracias a sus módulos especializados (Risk Manager Suite, Information Security Officer Suite, etc.), la plataforma le guía en la identificación de sus ciberriesgos, la evaluación de sus sistemas de seguridad y el seguimiento de los planes de tratamiento. Obtendrá una visión consolidada de su postura de seguridad y de las lagunas que debe cerrar para cumplir los requisitos de NIS 2, todo ello a través de cuadros de mando claros para los departamentos de TI/SI y la dirección.
• Políticas y cumplimiento: Smart Global Governance incluye repositorios de control alineados con las obligaciones de NIS 2. De este modo, puede formalizar sus políticas (carta IS, procedimientos de incidentes, BCP, etc.) en la herramienta y comprobar continuamente su aplicación mediante listas de comprobación y auditorías automatizadas. La plataforma garantiza una trazabilidad completa de las acciones realizadas: una ventaja en caso de inspección de la ANSSI o para sus informes internos.
• Gestión de documentos y flujo de trabajo: se acabaron las hojas de cálculo dispersas y los documentos de Word sin seguimiento. La solución ofrece un espacio centralizado para almacenar sus documentos de seguridad y pruebas de conformidad (registros de incidentes, informes de auditoría, pruebas de formación, etc.). Se pueden utilizar flujos de trabajo colaborativos para asignar tareas a los responsables (por ejemplo: «actualizar el plan de respuesta a incidentes» a un responsable concreto, con recordatorios automáticos). Esto garantiza que no se olvide nada y que cada requisito de NIS 2 esté cubierto por un plan de acción.
• Informes y cuadros de mando para la dirección: La plataforma ofrece cuadros de mando dinámicos que resumen el estado de cumplimiento y el nivel de ciberriesgo de la empresa. Estas vistas didácticas son ideales para informar a la alta dirección o al comité de auditoría del progreso del programa NIS 2. De un vistazo, los responsables de la toma de decisiones pueden ver los puntos fuertes y débiles y los progresos realizados, lo que fomentala implicación de la dirección y la toma de decisiones informadas (priorización de inversiones, compensaciones, etc.).
• Enfoque modular y escalable: las soluciones Smart Global Governance no sólo cubren NIS 2, sino también otras normativas y estándares (RGPD, ISO 27001, PCI, etc.). Esto significa que su enfoque de NIS 2 puede formar parte de una estrategia de cumplimiento unificada. Evitará duplicar esfuerzos reutilizando un análisis de riesgos común o controles genéricos, por ejemplo. Además, como la plataforma es modular, puede activar gradualmente nuevas funcionalidades a medida que cambien sus necesidades. Esta agilidad significa que puede seguir el ritmo de las amenazas y normas en evolución, incluso más allá de NIS 2.

En resumen, Smart Global Governance actúa como un verdadero copiloto para los CIOs y CISOs en la implementación de NIS 2. Al automatizar las tareas GRC que consumen mucho tiempo, haciendo que la supervisión del cumplimiento sea más fiable e implicando a las personas adecuadas a través de flujos de trabajo claros, la plataforma le ahorra tiempo y aumenta la eficiencia operativa. Según un estudio de Smart Global Governance, la automatización de los procesos de GRC puede aumentar la eficiencia en un 40%, liberando a los equipos para proyectos de mayor valor añadido. De este modo, puede convertir la restricción NIS 2 en un motor de rendimiento: no sólo puede evitar sanciones, sino sobre todo reforzar la seguridad de su organización a largo plazo.