Es indiscutible que la Directiva de Seguridad de las Redes y de los Sistemas de Información (más conocida como NIS2) trae mejoras significativas respecto a la norma que deroga. Es más explícita y deja claro su objetivo de robustecer el marco regulatorio en ciberseguridad en todo su ámbito. Así, al menos, lo percibe una amplia mayoría de empresas, un 74%, de acuerdo con un reciente informe, que la encuentra beneficiosa de forma general, al tiempo que casi todas, un 90%, declaran haber sufrido incidentes de ciberseguridad que se podrían haber evitado si hubieran implementado las medidas que plantea NIS2. Sin embargo, hay aspectos que pueden escapar al análisis superficial de la norma, ya que el régimen de supervisión diferenciado que aplica a entidades "esenciales" e "importantes" puede generar una desigualdad que afecta a estas últimas por subestimar la importancia de su cumplimiento.
No hay discusión con que las entidades esenciales deban estar bajo una supervisión más estricta, ya que sus servicios tienen un impacto más significativo en la sociedad. Además, la propia norma reconoce en sus considerandos que es necesario reestructurar el sistema de control mediante auditorías periódicas y continuas. Al leerla, da la impresión de que los esfuerzos se deban centrar más en demostrar cumplimiento que en garantizar la seguridad de un servicio. Sin embargo, aunque la presión de la auditoría permanente pueda resultar abrumadora, este control constante fomenta un hábito saludable en las entidades esenciales, refuerza la creación de cibercultura proactiva y permite identificar y remediar problemas de seguridad de manera temprana. Pero ¿qué pasa con las entidades importantes?
Las importantes no pasan del primer round
En este caso, la norma indica que las verificaciones por parte del regulador serán siempre reactivas, es decir, se van a efectuar solamente cuando haya tenido lugar un incidente de seguridad. La consecuencia inevitable es que la primera revisión siempre llegará tarde, una vez que la situación sea irreversible. De pronto, la entidad puede enfrentarse a multas millonarias e incluso sus directivos ser objeto de responsabilidad penal. ¿Cómo llegamos hasta aquí? Preguntará sorprendida la alta dirección al CISO. La respuesta es sencilla: La falta de revisiones regulares puede llevar a las entidades importantes a una falsa sensación de seguridad, la percepción de que se cumple y que no hay nada más que hacer. Lo que parece una ventaja -liberarse de la presión de auditoría obligatoria y constante- se convierte en una situación de falsa seguridad, en la que los errores e inacciones en la implantación de medidas provocan incidentes y generan serios perjuicios.
El primer golpe ha sido en la mandíbula y ahora habrá que esperar, porque puede ser mortal. Y es que esta complacencia originada en la disparidad de niveles de supervisión puede traer varias consecuencias, todas ellas negativas. La más grave podría ser el daño a la reputación, ya que, en este escenario, un incidente de seguridad puede afectar a la imagen de cualquier entidad importante de tal manera que afecte radicalmente su posición en el mercado. También podrían enfrentarse a multas regulatorias que, sumadas a eventuales interrupciones en el servicio, podrían derivar en costes inaceptables. Habrá, además, un mayor riesgo ante incidentes, si consideramos, por ejemplo, que las entidades importantes puedan ser vistas como objetivos más atractivos por parte de los ciberatacantes, gracias a una percepción equivocada del riesgo y a la falta de medidas adecuadas. Y, por supuesto, habrá mayores costes a la hora de subsanar de forma urgente para evitar que los incidentes se propaguen.
Frente a este panorama, el peor enemigo de las entidades importantes es la inacción. Para minimizar riesgos y estar preparadas ante posibles incidentes, habrá que vencer la inercia y adoptar un enfoque proactivo y estratégico. Aunque suene raro, las medidas que les exige la norma son las mismas que para las esenciales y los factores críticos de éxito se podrían resumir en:
- Implementar un programa de gestión de riesgos IT, con especial foco en la protección de la cadena de suministro.
- Formalizar un sistema de gestión de incidentes robusto.
- Establecer un adecuado plan de continuidad que garantice la resiliencia.
- Forjar cultura en ciberseguridad, capacitando y concienciando a todos los empleados con foco en su rol fundamental en la protección de los activos de la organización.
- Crear una planificación anual de auditoría interna que permita documentar las medidas de seguridad implementadas y, a la vez, entrenar a todo el personal involucrado.
En resumen, la NIS2 logra su propósito de fortalecer el marco regulatorio y superar a su predecesora, pero, en su afán de mejora, no ha tenido en cuenta posibles efectos secundarios. La forma en que se ejercen las facultades de control entre entidades esenciales e importantes es desigual y puede plantear un desafío mayor para las que son menos críticas. Ante este riesgo, muchas entidades importantes deberían vencer el letargo al que podrían estar sometidas por esa falta de atención permanente que generan las revisiones periódicas, lo cual solo se puede contrarrestar mediante proactividad y debida diligencia; teniendo en cuenta, siempre, la consideración de norma de mínimos ante el desafío que presenta el cumplimiento de cualquier norma relativa a seguridad.