Preparación para NIS 2: de limitación a oportunidad para directores de TI y CISO

El cumplimiento de la NIS 2 no debe verse sólo como una carga administrativa, sino como un proyecto estratégico que puede aportar valor a la empresa. Es cierto que la directiva impone nuevas obligaciones y plazos vinculantes, pero puede servir de catalizador para mejorar la postura general de ciberseguridad y resistencia. Para los CIO y los CISO, el reto consiste en convertir esta limitación en una oportunidad: una oportunidad para convencer a la dirección de que invierta, una oportunidad para limpiar procesos, eliminar silos, adoptar mejores herramientas, etcétera. En resumen, matar dos pájaros de un tiro: cumplir la ley y ser más sólidos frente a las ciberamenazas.

Un proyecto complejo que requiere anticipación y coordinación

Admitámoslo, lograr el cumplimiento de la NIS 2 será una empresa multidisciplinar. Según las estimaciones, un proceso de conformidad completo (análisis, corrección, implantación de herramientas) puede llevar unos 12 meses para una organización media(Requisitos NIS2 | 10 medidas mínimas a abordar). Pero el plazo reglamentario es corto: transposición en octubre de 2024 y, a continuación, aplicación inmediata (aunque los reguladores puedan ser tolerantes durante unos meses, la presión no cesará). Una encuesta realizada en 2023 mostró que el 55% de las empresas aún no se sentían preparadas para laNIS 2(Enjeux et points clés de la Directive NIS 2 pour votre organisation – Onet France). Y entre los responsables informáticos encuestados, el 80% se declaraba confiado en llegar a tiempo ([Infografía] NIS2: las empresas entre la confianza y los retos)… lo que puede reflejar un ligero optimismo o una subestimación de los esfuerzos aún necesarios.

Por tanto, los CIO/ISR deben asumir desde ahora el papel de orquestadores de este proyecto de conformidad. Se trata de un proyecto atípico: a la vez técnico (hay que mejorar la seguridad de la SI), organizativo (hay que implantar nuevos procedimientos, formar a las personas) y jurídico/de conformidad (documentación, rendición de cuentas, diálogo con las autoridades). Esto implica movilizar varias funciones de la empresa: informática, por supuesto, pero también jurídica, RRHH (para la formación), compras (para los proveedores), continuidad de la actividad, etc., sin olvidar a la alta dirección, como hemos visto.

Un enfoque eficaz podría basarse en los métodos tradicionales de gestión de proyectos: establecer la gobernanza del proyecto (comité de dirección, patrocinador ejecutivo, gestor de proyecto dedicado), definir un plan de proyecto con fases e hitos, y supervisar el progreso con respecto a estos hitos. Por ejemplo, el proyecto NIS 2 puede dividirse en fases: 1) diagnóstico inicial, 2) plan de corrección y priorización, 3) aplicación de medidas técnicas/organizativas, 4) pruebas y ajustes, 5) auditoría final de conformidad. Cada una de estas fases puede comprender múltiples tareas y subproyectos.

Laobtención de recursos es un punto crítico. Sin duda tendrá que justificar un presupuesto (horas de consultoría, compra de soluciones, posibles contrataciones) ante la dirección. Para ello, utilice el argumento del riesgo y las penalizaciones, pero también el enfoque positivo: «Invertir X euros ahora puede ahorrarnos una multa del 2% de la facturación y, sobre todo, evitar una costosa crisis». Subraye también que lo que se está haciendo para el NIS 2 beneficiará a otras áreas (RGPD, continuidad de negocio, etc.). Además, mencione la posibilidad de que sus clientes le exijan el cumplimiento del NIS 2 (efecto cascada en las licitaciones), por lo que también es una inversión comercial preventiva.

Plan de acción recomendado para abordar el cumplimiento de NIS 2

Para que un proyecto NIS 2 tenga éxito, hay que hacer las cosas bien (seguridad) y documentarlas (cumplimiento). He aquí un plan de acción resumido que pueden seguir los departamentos de TI/SI:

1. Lanzamiento y gobernanza del proyecto: Designar un director de proyecto (por ejemplo, el CISO o un director de proyecto especializado) y un patrocinador de gestión (director general, gestor de riesgos, etc.). Crear un equipo de proyecto multidisciplinar con representantes de cada uno de los departamentos implicados. Organizar una reunión inicial para explicar a todos la directiva, las etapas y el calendario.
2. Diagnóstico inicial (Gap Analysis): Haga balance de la situación con respecto a los requisitos de la NIS 2. Para cada requisito, haga una lista de su situación. Por ejemplo: «Requisito: formación de directivos – Estado: no se ha hecho», «Procedimiento de notificación de incidentes – Estado: existe pero hay que formalizarlo», «Autenticación MFA general – Estado: 70% de aplicaciones cubiertas», etc. Si es necesario, recurra a auditorías externas para evaluar la tecnología de forma objetiva. Identifique también los puntos fuertes: es posible que algunos requisitos ya se hayan cumplido gracias a sus esfuerzos anteriores (por ejemplo, si cumplía la norma ISO 27001 o LPM/OIV).
3. Priorización y plan de corrección: sobre la base del análisis de carencias, clasifique las carencias que deben subsanarse como de prioridad alta, media o baja. Prioridad alta = riesgos importantes u obligaciones críticas incumplidas. Por ejemplo, ausencia de un plan de incidentes = crítico. Para cada punto, defina la acción que debe emprenderse, la persona responsable y el plazo previsto. Esto forma su hoja de ruta. Intente repartir el trabajo a lo largo del tiempo para no hacerlo todo en el último minuto: lo ideal es aspirar a la casi conformidad a finales de 2024 para mayor tranquilidad.
4. Aplicarlas medidas: llevar a cabo el plan. Esto variará mucho en función de la medida: puede ir desde «redactar un documento» hasta «desplegar una nueva herramienta EDR en 1.000 puestos de trabajo». Supervise periódicamente los progresos en las reuniones del comité de dirección. No dude en delegar ciertas tareas en proveedores de servicios especializados o consultores, sobre todo para temas especializados (por ejemplo, formación específica para el Consejo impartida por un experto, auditoría de configuración, etc.). Tenga en cuenta la fecha prevista y ajuste el plan si algo va mal.
5. Documentación y conformidad: Junto a los aspectos técnicos, trabaje en sus documentos de conformidad. Prepare desde ahora los elementos que puedan solicitarse: política de seguridad validada por el director general, actas de formación del consejo, registro de incidentes de seguridad, etc. Elabore un expediente NIS 2 que contenga todas las pruebas de lo que está haciendo. Esto facilitará la fase final y las posibles inspecciones.
6. Prueba final y simulacro de auditoría: Una vez completadas todas las acciones del plan de corrección, realice una auditoría interna para comprobar que se cubren todos los requisitos de la NIS 2. Por ejemplo, simule una solicitud de ANSSI y compruebe si puede proporcionar todos los elementos (documentos, pruebas). Si hay puntos débiles, corríjalos en la medida de lo posible. Este simulacro le dará confianza para el futuro.
7. Mantener las condiciones: el NIS 2 no es una cuestión de una sola vez; tendrá que mantener este nivel de cumplimiento a lo largo del tiempo. Así que haga que estas comprobaciones formen parte de sus procesos cotidianos: por ejemplo, añada la revisión anual del cibergobierno a la agenda del consejo, planifique auditorías periódicas, etc. No pierda de vista los avances: la seguridad debe estar en consonancia con el estado de la técnica (la directiva habla del «estado de la técnica»: lo que es aceptable hoy dejará de serlo dentro de 5 años). Prevea puntos de mejora continua.

Siguiendo este plan, no sólo conseguirá que su organización cumpla la normativa, sino que también habrá estructurado un auténtico sistema de gestión de la ciberseguridad. Este sistema le servirá mucho más allá de la NIS 2: por ejemplo, para cumplir otras normas (otros textos europeos como DORA – Digital Operational Resilience Act – están al caer, y usted ya estará en el punto de partida). También habrá sensibilizado internamente, clarificado procedimientos, eliminado redundancias… en resumen, habrá mejorado su eficacia operativa. Un estudio sugiere que, si se gestiona adecuadamente, el cumplimiento de la normativa puede suponer incluso un aumento del 40% de la eficiencia operativa gracias a la automatización y optimización de los procesos. Es un buen retorno de la inversión.

Smart Global Governance: su aliado para cumplir y mantener la normativa NIS 2

El programa que acabamos de describir puede parecer ambicioso. Ahí es donde una solución como Smart Global Governance cobra todo su sentido: al centralizar el esfuerzo, automatizar la supervisión y garantizar la sostenibilidad de los procesos, le ayuda a completar con éxito su proyecto NIS 2 y a cosechar los beneficios a lo largo del tiempo.

• Gestión global de proyectos: Smart Global Governance ofrece una visión programática del cumplimiento. Puede crear un plan de cumplimiento de NIS 2 en la herramienta, con las distintas fases y tareas asignadas. El cuadro de mandos del proyecto muestra el porcentaje de avance, las tareas atrasadas, etc., lo que facilita la presentación de informes al comité de dirección. Cada miembro del equipo ve sus tareas en su interfaz, con plazos claros. Esta transparencia mejora la coordinación y la rendición de cuentas.
• Colaboración multiempresarial: Como la plataforma es accesible a las distintas partes interesadas (con los derechos adecuados), sirve de punto central para la colaboración. Por ejemplo, el experto jurídico puede publicar contratos revisados con cláusulas NIS 2, el CISO puede supervisar los despliegues técnicos y RRHH puede certificar los cursos de formación… Así se rompen los silos. Se acabó la información dispersa en correos electrónicos o archivos locales: todo está reunido, lo que reduce el riesgo de olvidos y la pérdida de tiempo persiguiendo información.
• Recordatorios y recordatorios automáticos: para mantener el ritmo, Smart Global Governance incluye mecanismos de recordatorio automático. Si una tarea no se ha completado en la fecha prevista, la persona responsable recibe notificaciones, y el gestor puede ser alertado. Lo mismo ocurre con los controles recurrentes: la herramienta puede recordarle que ha llegado el momento de la revisión anual de la política de seguridad, o de probar el DRP este trimestre. Esto permiteque las rutinas de cumplimiento queden firmemente establecidas sin necesidad de seguimiento manual.
• Base de conocimientos y mejores prácticas: Smart Global Governance incluye contenidos preconfigurados y guías alineadas con la directiva. Por ejemplo, la herramienta incluye una lista de comprobación de los requisitos de la NIS 2 para ayudarle con el diagnóstico inicial (con una descripción de cada requisito y los controles que se sugiere establecer). De este modo, se beneficiará de losconocimientos integrados de Smart Global Governance, fruto de su experiencia con un gran número de clientes. Es como tener un consultor virtual que le guía paso a paso.
• Escalabilidad y adaptabilidad: La plataforma se actualiza constantemente para incorporar los últimos avances normativos y las mejores prácticas. Si se añaden nuevas directivas o normas (y sabemos que habrá más), puede integrarlas en su ecosistema Smart Global Governance sin empezar de cero. Su modularidad le permite añadir nuevos módulos cuando los necesite. Su inversión está preparada para el futuro: puede utilizarla hoy para NIS 2 y mañana para otros retos.
• Medición de los beneficios: Smart Global Governance no sólo le ayuda a marcar casillas, sino también a medir el impacto. Gracias a los indicadores de riesgo, conformidad e incidentes, puede demostrar concretamente las mejoras conseguidas (por ejemplo, reducción del nivel de riesgo residual, reducción del tiempo medio de respuesta a los incidentes, etc.). Estos datos tienen un valor incalculable para destacar el trabajo realizado ante la dirección y las partes interesadas. Transforman el cumplimiento en cifras significativas y manejables.

En resumen, Smart Global Governance actúa como acelerador y estabilizador de su programa NIS 2. Durante la fase de proyecto, acelera la consecución del cumplimiento al proporcionarle estructura y asistencia. A largo plazo, estabiliza lo conseguido garantizando que los procesos se sigan supervisando y que se produzcan mejoras continuas. Y lo que es más, al centralizarlo todo, ahorra tiempo: nuestros clientes ven a menudo una reducción del 30-50% en el tiempo dedicado a tareas administrativas de cumplimiento gracias a la automatización.

Por último, el uso de Smart Global Governance envía una señal positiva a las partes interesadas (autoridades, clientes, etc.): demuestra que ha optado por un enfoque profesional y proactivo para gestionar la ciberseguridad y el cumplimiento normativo. No se limita a reaccionar, sino que se anticipa y ofrece excelencia operativa. Así es como el cumplimiento de la norma NIS 2 se convierte en un verdadero activo de confianza y rendimiento para su organización.

Conclusión: la directiva NIS 2 es un gran reto para los CIO y los CISO, pero si se abordan metódicamente sus distintas facetas -requisitos, gobernanza, riesgos de terceros, incidentes, medidas de seguridad, gestión de proyectos- puede convertirse en una palanca para reforzar la respuesta global de su empresa a los ciberriesgos. A lo largo de esta serie de artículos, hemos explorado los problemas y las mejores prácticas en torno al SRI 2. Con la mentalidad adecuada, las herramientas apropiadas y una participación interfuncional, el cumplimiento de la NIS 2 no es sólo una línea más en la lista de obligaciones: es una oportunidad parasituar la ciberseguridad en el centro de la estrategia y crear resistencia a largo plazo. Smart Global Governance se compromete a trabajar con usted para transformar estos nuevos requisitos en oportunidades de progreso. ¡En el camino hacia la NIS 2!