La NIS2 (Directiva sobre seguridad de las redes y la información 2) es una normativa de la UE que entró en vigor el 17 de octubre de 2024. Su objetivo es reforzar la resiliencia de la ciberseguridad en sectores esenciales e importantes. Roland Singer, vicepresidente de Servicios de TI de Sharp Europe, analiza lo que supone la directiva NIS2 para las pymes y cómo pueden prepararse para adoptar los cambios.
Las empresas modernas prosperan gracias a la conectividad. Ya sea intercambiando correos electrónicos, participando en reuniones, trabajando a través de redes Wi-Fi abiertas o compartiendo documentos con otras personas, el mundo está conectado y abierto a los negocios. Teniendo esto en cuenta, las pequeñas y medianas empresas (pymes) son hoy más vulnerables que nunca a los ciberataques. Los estudios han revelado que las pequeñas empresas son con mayor frecuencia el blanco de los delitos cibernéticos, mientras que una investigación de Sharp muestra que un tercio (33 %) de las empresas europeas se han visto afectadas por un ataque de virus informático.
¿Qué es la Directiva sobre redes y servicios de información? (NIS2)
Ante la creciente amenaza de los ciberataques, la Unión Europea (UE) ha establecido varias directivas que obligan a las empresas a optimizar su ciberresiliencia, es decir, la capacidad de prevenir, resistir y recuperarse de incidentes cibernéticos. La primera de ellas, la Directiva sobre seguridad de las redes y la información (NIS), se introdujo en 2016 y tenía por objeto lograr un alto nivel común de seguridad de las redes y los sistemas de información en todas las infraestructuras.
La Directiva sobre redes y sistemas de información (NIS) es una normativa de la UE que establece normas de ciberseguridad e impone obligaciones a los operadores de servicios esenciales y a los proveedores de servicios digitales para garantizar que sus redes y sistemas de información sigan siendo seguros y resistentes frente a las amenazas cibernéticas.
La Directiva NIS2 entró en vigor en octubre de 2024 con el objetivo de reforzar aún más la ciberresiliencia colectiva de la UE mediante la implantación de una sólida gestión de riesgos, controles de seguridad y auditorías/pruebas periódicas. Aunque permite cierta flexibilidad a nivel nacional, la NIS2 establece unas bases de referencia en materia de ciberseguridad para toda la UE que reflejan las normas y las mejores prácticas mundiales. De este modo se garantiza un mayor nivel de preparación y resiliencia frente a incidentes cibernéticos que podrían perturbar el funcionamiento de servicios esenciales e infraestructuras críticas.
La Directiva NIS2 ha introducido normas y requisitos más estrictos en materia de ciberseguridad para las organizaciones, entre los que se incluyen la implementación de políticas de ciberseguridad, planes de respuesta ante incidentes y evaluaciones periódicas de riesgos. También impone obligaciones más estrictas a las organizaciones en materia de gestión de riesgos y notificación, exigiéndoles que adopten las medidas adecuadas para gestionar los riesgos de ciberseguridad y notifiquen los incidentes cibernéticos significativos a las autoridades nacionales.
Además, también amplía el alcance de la normativa original al incluir más sectores y entidades que considera esenciales o importantes, como el sector de la administración pública, la energía, la sanidad, los servicios digitales, los servicios postales y de mensajería, la producción y distribución de alimentos, las infraestructuras digitales y la fabricación.
Además de tener en cuenta una gama más amplia de organizaciones, la NIS2 introduce nuevos controles y equilibrios también para las pequeñas empresas. Las pequeñas y medianas empresas (pymes) con más de 50 empleados y unos ingresos superiores a 10 millones de euros están sujetas a los requisitos de ciberseguridad más estrictos de la NIS2.
NIS2, impacto directo en la seguridad de la cadena de suministr
Las organizaciones dedicadas a la logística, los servicios informáticos, la fabricación y los proveedores externos deben cumplir los requisitos de ciberseguridad para mantener sus relaciones comerciales. La seguridad de la cadena de suministro se ha convertido en un área de interés fundamental de la Directiva NIS2. Esta reconoce que las infraestructuras digitales modernas dependen cada vez más de proveedores y servicios externos. Por ello, la directiva exige que las organizaciones evalúen y aborden no solo sus propios riesgos de seguridad, sino también los de toda su cadena de suministro.
Esto incluye implementar protocolos rigurosos de evaluación de proveedores, establecer requisitos de seguridad contractuales para los proveedores y mantener una supervisión continua de los procedimientos de seguridad de terceros. Además, las organizaciones deben establecer planes de respuesta a incidentes que aborden específicamente los ataques a la cadena de suministro, garantizando que puedan responder de manera eficaz cuando se produzca una violación de la seguridad por parte de un socio externo.
Al ampliar las prácticas de seguridad más allá de la propia empresa, NIS2 pone de relieve que cualquier vulnerabilidad en la cadena de suministro puede comprometer todo el ecosistema digital.
Las pymes y la necesidad de formación en materia de NIS2
Para que la directiva sea un éxito, las empresas de todos los tamaños de Europa deben mejorar la seguridad técnica de TI en todos los puntos de la organización. Una mayor seguridad solo puede funcionar si todos los dispositivos se integran en la estrategia de seguridad de TI. Esto significa no solo los dispositivos principales, sino también los periféricos. Esto es algo que se aplica cada vez más a los equipos multifunción, cuya seguridad sigue siendo descuidada por la mayoría de las empresas, ya que una investigación de Sharp reveló que el 19 % de las pymes se había visto afectada por una brecha de seguridad de las impresoras.
Las empresas más pequeñas que entran dentro del ámbito de aplicación de la NIS2 deben tomar varias medidas para prepararse y cumplir con los nuevos requisitos de ciberseguridad. En primer lugar, las pymes deben colaborar con su proveedor de soporte informático para llevar a cabo una evaluación exhaustiva de los riesgos con el fin de identificar posibles vulnerabilidades, amenazas y áreas de mejora en materia de ciberseguridad en toda la organización.
Del mismo modo, la empresa debe revisar y actualizar los contratos, los acuerdos de nivel de servicio y otros documentos pertinentes para garantizar que cumplen los requisitos de la NIS2 y definen claramente las responsabilidades y obligaciones en materia de ciberseguridad..
Una vez realizadas todas las evaluaciones, es fundamental desarrollar e implementar políticas y procedimientos de ciberseguridad en toda la empresa. Estos procedimientos deben ajustarse a los requisitos de la NIS2, tales como prácticas de gestión de riesgos, protocolos de notificación de incidentes y medidas de seguridad para redes y sistemas de información.
El reto para las empresas no es solo implementar estas medidas, sino también seguir realizando comprobaciones periódicas de su eficacia, ya sea mediante análisis de vulnerabilidades, evaluaciones de seguridad, pruebas de penetración o ciberataques simulados.
La educación es la clave del éxito de NIS2
Las amenazas cibernéticas suelen considerarse como algo que le ocurre a una empresa desde el exterior. Sin embargo, es importante darse cuenta de que la mayoría de las violaciones de la seguridad informática se deben principalmente a errores humanos y no a fallos tecnológicos. Por lo tanto, una empresa puede hacer que la tecnología sea tan segura como sea necesario, pero si los empleados no comprenden cómo y por qué es necesaria la seguridad, las políticas simplemente no funcionarán.
Por lo tanto, la formación periódica de los empleados en materia de ciberseguridad y sensibilización es una parte esencial de la solución de ciberseguridad de cualquier organización, independientemente del tamaño de la empresa. Esta formación garantizará que el personal comprenda la necesidad de la ciberseguridad y siga las mejores prácticas para proteger la información y los sistemas confidenciales.
Sharp Europe IT Services ofrece una serie de servicios de cumplimiento de la NIS2 que, en primer lugar, evalúan si una empresa reúne los requisitos para ser considerada una entidad esencial o importante, aclarando las obligaciones reglamentarias y el alcance del cumplimiento. Una vez establecido esto, nuestros expertos evaluarán el marco actual de ciberseguridad de su empresa, ayudándole a identificar las deficiencias con respecto a las normas NIS2 utilizando metodologías reconocidas por el sector. A continuación, podemos desarrollar planes de acción personalizados, dando prioridad a las medidas de seguridad críticas para alinear su empresa con la NIS2.
Sharp IT Services ofrece supervisión del cumplimiento normativo las 24 horas del día, los 7 días de la semana, en nueve idiomas de la UE, y presta apoyo a empresas de todos los tamaños y de diversos sectores con políticas de seguridad específicas para cada industria. Con amplios conocimientos y experiencia en el campo, Sharp también ofrece planes automatizados de recuperación ante desastres, pruebas de penetración, formación del personal y auditorías periódicas para garantizar el cumplimiento normativo y la protección a largo plazo de su empresa.
Al tomar medidas proactivas para garantizar que la ciberseguridad sea una prioridad y se ajuste fácilmente a los requisitos de la NIS2, las pymes pueden protegerse mejor contra las amenazas cibernéticas, garantizar la continuidad del negocio y evitar posibles multas o sanciones por incumplimiento.
