El pasado noviembre, la reglamentación NIS2 reemplazó oficialmente a la Directiva de Seguridad de la Información y Redes (NIS) de la Unión Europea, introduciendo cambios significativos que muchas empresas de la UE deberán cumplir, con el objetivo de mejorar la resiliencia de la infraestructura crítica y alinear los esfuerzos de ciberseguridad en toda la UE.
Adoptada por primera vez en 2016, la Directiva NIS fue la primera legislación sobre ciberseguridad en toda la UE, aunque siempre ha resultado difícil implementarla de manera consistente. En este sentido, desde CyberArk hemos analizado los principales cambios que abarca la directiva NIS2 para abordar los nuevos desafíos y responder a las crecientes amenazas que plantea la digitalización.
Con un alcance mucho más amplio, la lista de sectores cubiertos por NIS2 es mayor y proporciona más detalles sobre qué entidades están sujetas a requisitos. Será obligatoria para cualquier entidad con más de 250 empleados y una facturación anual de más de 50 millones de euros y/o un balance anual superior a 43 millones de euros. Y en determinadas circunstancias, las entidades deben cumplir independientemente del tamaño de la empresa, como los proveedores de redes de comunicaciones electrónicas. Por otro lado, dependerá de cada Estado miembro clasificar estas entidades como “esenciales” (en el caso de los operadores de infraestructura crítica o ciertos fabricantes) o “importantes” (proveedores de servicios digitales o de servicios gestionados). Y aunque ambos grupos deben cumplir con los mismos requisitos, la supervisión a las entidades esenciales será más estricta.
En segundo lugar, NIS2 introduce un conjunto de medidas de ciberseguridad de referencia que cada entidad debe abordar, de tal manera que los requisitos de seguridad se han visto reforzados, incluyendo el análisis de riesgos y las políticas de seguridad del sistema de información, la respuesta a incidentes, la continuidad del negocio y la gestión de crisis, la seguridad de la cadena de suministro, la evaluación de la eficacia de las medidas de gestión de riesgos y la divulgación de vulnerabilidades y encriptación.
El tercer punto tiene que ver con la colaboración mejorada. El objetivo de las reglas NIS2 es aumentar la confianza, el intercambio de información y la gestión coordinada de incidentes de ciberseguridad a gran escala a nivel de la UE. La Red Europea de Organizaciones de Enlace en Crisis Cibernéticas (EU CyCLONe) se ha creado para apoyar estos esfuerzos.
Los plazos de notificación de incidentes son más rápidos y NIS2 aclara las obligaciones con disposiciones más precisas. Las empresas afectadas deben presentar un informe inicial a las autoridades en las 24 horas posteriores al conocimiento de un incidente y una actualización final al cabo de un mes.
El quinto punto hace referencia a las sanciones. Mucho más severas, las multas por incumplimiento podrían alcanzar hasta el 2% de la facturación anual o 10 millones de euros, lo que suponga mayor cuantía.
Finalmente, respecto a la supervisión y rendición de cuentas del consejo de administración, NIS2 impone específicamente una obligación a los órganos de gestión (incluidos los miembros de C-Suite) para implementar y cumplir con medidas de seguridad reforzadas y alude a las posibles consecuencias de no hacerlo.
Abordando los riesgos actuales y los desafíos futuros
NIS2 refleja un panorama de amenazas que cambia rápidamente y que no se parece al del año 2016. Porque los riesgos que trae consigo la digitalización son muchos. Por ejemplo, muchas empresas de servicios públicos y fabricantes ahora están haciendo converger redes de tecnología operativa (OT) y redes de tecnología de la información (TI) para simplificar las operaciones y reducir los costos.
Ahora es común que los puntos finales de OT y del Internet de las cosas (IoT) se conecten a través de Internet, mientras que las aplicaciones a menudo se implementan en la nube, mucho más allá de los límites seguros de la red empresarial. Además, muchos empleados ya trabajan solo de forma remota y los administradores de sistemas (tanto empleados como terceros) administran de manera rutinaria la infraestructura crítica desde ubicaciones remotas. Por ello, la necesidad de un punto constante de control de seguridad más allá del perímetro es fundamental para defender la infraestructura crítica contra ataques cibernéticos devastadores. En este sentido, se aboga por un modelo de ciberseguridad Zero Trust que asuma que todas las identidades humanas y de máquinas son implícitamente no confiables, por lo que deben autenticarse y autorizarse independientemente de su ubicación.
NIS2 entrará en vigor a finales de 2023 y los Estados miembros tienen hasta septiembre de 2024 para transponer la Directiva a sus propias leyes nacionales.