El 17 de octubre marcará un punto de inflexión en las medidas de ciberseguridad en la Unión Europea con la entrada en vigor de la Directiva NIS2 (Directiva 2022/2555), como abordamos hace solo unos días de la mano de Petri Alonso, directora de área Sector Privado de Grupo Oesía, quien explicó que esta normativa sustituye a la NIS1 para reforzar los requisitos de ciberseguridad exigibles tanto a las infraestructuras críticas clásicas como a nuevos sectores, extendiéndose a prácticamente cualquier actor que juegue un rol clave en la economía o la sociedad.
"Una vez haya entrado en vigor, los estados miembros de la UE estarán facultados para suspender parcial o totalmente las actividades de las organizaciones, imponer multas de hasta 10 millones de euros o el 2% de su facturación global y hasta inhabilitar a los directivos de sus funciones en caso de incumplimiento", advertía Alonso.
A menos de tres semanas para que la NIS2 comience a aplicarse, una nueva encuesta encargada por Veeam Software pone de relieve que, aunque casi el 80% de las empresas confía en su capacidad para eventualmente acatar las directrices de la normativa, hasta el 66% admite que no cumplirá con el inminente plazo estipulado.
Obstáculos para el cumplimiento de la NIS2
El cumplimiento de la Directiva NIS2 exige a las empresas aplicar una serie de medidas para reforzar su ciberseguridad, como definir planes de respuesta a incidentes, fortalecer la protección de las cadenas de suministro o realizar evaluaciones de las vulnerabilidades. No obstante, la encuesta, que recoge las opiniones de más de 500 responsables de las decisiones en materia de TI de Alemania, Bélgica, Francia, Países Bajos y Reino Unido, deja patente que todavía persisten varios obstáculos.
Entre las principales barreras citadas por los responsables de TI se encuentran la deuda técnica (24%), la falta de comprensión por parte de los directivos (23%) y la insuficiencia de presupuesto/inversiones (21%). En particular, el 40% de los encuestados reportó una disminución de los presupuestos de TI desde que se anunció el acuerdo político para NIS2 en enero de 2023, a pesar de la proximidad de la implementación de la normativa y de sus duras sanciones, comparables a las del Reglamento General de Protección de Datos (RGPD). En esta línea, cabe señalar que el 63% de los encuestados considera estricto el RGPD y el 62% comparte el mismo sentimiento sobre el NIS2.
Presiones competitivas y otras prioridades
Otro de los factores que ralentiza el cumplimiento de la NIS2 es la diversidad de prioridades y presiones empresariales a las que se enfrentan las organizaciones. De hecho, los encuestados piensan que la NIS2 es menos urgente que otras diez cuestiones, incluidas la falta de competencias, las exigencias de rentabilidad y la transformación digital. Además, pese a que el 74% considera beneficiosa la NIS2, el 57% duda que tenga algún impacto sustancial en la postura general de la UE en materia de ciberseguridad y un 42% de ellos lo atributen a las consecuencias de su incumplimiento, lo que lleva a una apatía generalizada hacia la directiva.
Los escépticos también citan otras preocupaciones, como la falta de exhaustividad de la NIS2 (35%), la creencia de que su cumplimiento no garantiza la seguridad (34%) y el solapamiento con la normativa vigente (25%).
El 90% de las empresas sufrieron incidentes de ciberseguridad que NIS2 podría haber evitado
A pesar de la apatía y el escepticismo que suscita la NIS2, Veeam Software señala que hasta el 90% de las empresas de EMEA se han visto afectadas por al menos un incidente de ciberseguridad en los últimos 12 meses que la directiva podría haber evitado. Además, apunta que el 44% de ellas ha sufrido más de tres ciberataques de este tipo y que el 65% de ellos han sido calificados como "muy graves".
En palabras de Andre Troskie, EMEA Field CISO de Veeam: "NIS2 lleva la responsabilidad de la ciberseguridad más allá de los equipos de TI, hasta la junta directiva. Aunque muchas empresas reconocen la importancia de la directiva, la lucha por cumplirla mostrada en esta encuesta pone de manifiesto importantes problemas sistémicos. Las presiones combinadas de otras prioridades de las empresas y los retos informáticos pueden explicar la demora, pero ello no disminuye la urgencia. Dada la creciente frecuencia y gravedad de las ciberamenazas, no se pueden exagerar los beneficios potenciales de NIS2 en la prevención de incidentes críticos y el refuerzo de la resistencia de los datos. Los equipos directivos deben actuar con rapidez para colmar estas lagunas y garantizar el cumplimiento, no sólo por motivos normativos, sino para mejorar realmente la solidez de la organización y salvaguardar los datos críticos".