NIS2, CLAVE DE CENSURA

Mientras la Inteligencia Artificial (IA) colapsa el mapa tecnológico actual, Europa está decidida a jugar la baza de un desarrollo tecnológico que vela por los derechos de los ciudadanos. La transformación digital y la interconexión de la sociedad, así como de las empresas conlleva grandes beneficios, pero ha causado una expansión del panorama de las ciberamenazas y, por consiguiente, la aparición de nuevos desafíos que requieren de medidas adaptadas al nuevo contexto.

Los desafíos que el Viejo Continente quiere paliar con la Directiva (UE) 2022/2555, (llamada NIS2), que contempla unas medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión Europea (UE). Pero, ¿qué supondrá esta nueva legislación para las empresas españolas?

Desde Datos101, empresa española especialista en soluciones de seguridad de datos para compañías, destacan que «la NIS2 incluirá a todas las medianas y grandes empresas de los sectores críticos, pero también infraestructuras comunes como centros de datos o laboratorios de investigación. Al igual que, como novedad, también incluye, a la Administración Pública y ámbitos como pueden ser la gestión de residuos, las industrias química, farmacéutica y alimentaria, la fabricación de maquinaria pesada, los servicios postales, vehículos…». Para Santiago Arellano, Cyber Account Manager de Datos101, «la clave de NIS2 es que incluye detalles muy concretos en torno a la prevención, a la gestión de crisis, a la respuesta ante incidentes, las pruebas ‘cyber’ o la necesidad de usar cifrado».

Más allá de las ampliaciones en el alcance y mejora de la coordinación y la cooperación, la NIS2 muestra novedades relacionadas con el régimen sancionador. Esta nueva directiva habla de sanciones proporcionales y disuasorias. Sin embargo, será necesario esperar a la transposición de la ley para conocer de qué manera afectará. Cabe destacar que la NIS1 recogía ‘multas’ de entre 500.000 y 1.000.000 euros para las infracciones muy graves.

Santiago Arellano, Cyber Account Manager de Datos101, resaltan que «el efecto económico más inmediato de la NIS 2 no vendrá por las sanciones, sino por la necesidad de aplicar los nuevos requerimientos de ciberseguridad. Estos requerimientos se enfocarán en la gestión de riesgos y las empresas pasarán a ser responsables de la actuación de sus proveedores y suministradores».

Los ciberataques siguen multiplicándose y alcanzando cada día cifras históricas. Según Datos101, los ataques ransomware en 2022 han crecido más de un 50% en comparación con las cifras registradas en 2021, mientras que estos expertos prevén que 2023 venga cargado de actividades maliciosas. Un escenario este que deja a las empresas en una situación más vulnerable.

La directiva NIS2 señala que todos los incidentes con un nivel de impacto ‘crítico’, ‘muy alto’ o ‘alto’ deberán ser notificados a la autoridad competente respectiva, a través del CSIRT de referencia. Según la norma, los operadores de servicios esenciales deberán realizar una primera notificación tan pronto como dispongan de información que lo hagan posible. Asimismo, se deberán hacer notificaciones intermedias y una notificación final del incidente tras su resolución.

Sobre las claves en materia de ciberseguridad, Santiago Arellano explica que «son la proactividad y la resiliencia, capacidades que se retroalimentan. La mejor manera de ser proactivos es realizando auditorías periódicas, evaluando y gestionand.