El histórico proyecto de ley de ciberseguridad NIS2 de la Unión Europea está a solo unos meses de entrar en vigor. Con una fecha límite de cumplimiento del 17 de octubre, la ley tiene como objetivo mejorar la capacidad del bloque para luchar contra los crecientes niveles de delitos cibernéticos garantizando que todos los estados miembros sigan las mismas reglas y procedimientos de seguridad cibernética.
Según esta directiva, cada estado miembro de la UE debe establecer su propio equipo de respuesta a incidentes de seguridad informática (CSIRT) y una autoridad nacional de redes y sistemas de información si aún no lo han hecho. Mientras tanto, la UE creará un Grupo de Cooperación NIS para facilitar la colaboración en cuestiones de seguridad cibernética entre sus estados miembros.
Junto con un mayor escrutinio de los estados miembros de la UE, la directiva NIS2 también obligará a las empresas con sede en la UE que operan en sectores críticos como la energía, el transporte, el agua, los servicios financieros y la atención médica a implementar estrictas salvaguardias de seguridad cibernética e informar amenazas cibernéticas graves a las autoridades correspondientes. .
Dado que muchas empresas son víctimas de violaciones cibernéticas debido a agujeros de seguridad en sus cadenas de suministro, también se espera que los proveedores de TI, como los motores de búsqueda, las empresas de computación en la nube y los minoristas en línea, sigan estas reglas. Teniendo esto en cuenta, muchas empresas del Reino Unido que venden sus productos y servicios en la UE se verán afectadas por NIS2, independientemente del Brexit. Entonces, ¿cómo pueden cumplir con NIS2 en un plazo tan ajustado?
Esencial para las empresas del Reino Unido
La aplicación de NIS2 por parte de la Unión Europea tendrá un “efecto dominó” en las empresas del Reino Unido similar al del Reglamento General de Protección de Datos (GDPR), según Neil Thacker, director de seguridad de la información (CISO) EMEA de la empresa de software en la nube Netskope.
La ley obliga a las organizaciones europeas a reforzar la ciberseguridad de sus cadenas de suministro. Por lo tanto, si las empresas del Reino Unido suministran sus productos y servicios a clientes de la UE, deben cumplir con los requisitos NIS2. Thacker dice que esto es clave para permitirles “mantener operaciones y relaciones con clientes y socios de la UE”.
Debido a la naturaleza interconectada de la economía global actual, Thacker agrega que NIS2 generalmente alienta a las organizaciones que operan fuera de la UE a adoptar un conjunto similar de políticas de gestión de riesgos para reforzar su postura colectiva de ciberseguridad. Hacerlo ayudará a fomentar un “estándar unificado de seguridad cibernética” a nivel mundial y significa que las políticas exigidas por NIS2 se están “convirtiendo rápidamente en la norma en todo el mundo”, afirma.
“Si bien el Brexit ha alterado el panorama legal, es posible que las empresas del Reino Unido aún tengan que cumplir con el NIS 2 debido a su efecto dominó”, añade. “Este cumplimiento está impulsado por la necesidad de coherencia en la seguridad cibernética, acceso al mercado y cooperación internacional en toda la cadena de suministro global”.
Cumplir con la directiva NIS2 es más que un simple ejercicio de marcar casillas esencial para las empresas del Reino Unido que comercian en Europa. Ben Todd, vicepresidente regional de ventas de seguridad en EMEA de la empresa de seguridad en la nube Dynatrace, sostiene que puede ayudarles a largo plazo.
Sostiene que permitirá a las empresas británicas racionalizar sus operaciones en todo el bloque, mantener el acceso a su próspero mercado y contribuir a una economía global fuerte y segura. Todd le dice a Computer Weekly: “De hecho, la alineación con NIS2 puede ayudar a las empresas del Reino Unido a evitar posibles barreras comerciales y fomentar la confianza con los socios y clientes de la UE”.
Cumplir con la directiva
El primer paso para lograr el cumplimiento de NIS2 es comprender sus requisitos y cómo se aplican a cada negocio, según Crystal Morin, estratega de seguridad cibernética de la firma de seguridad en la nube Sydsig.
Después de comprender estas políticas y su relevancia organizacional, dice que los líderes empresariales y de seguridad deben trabajar juntos para garantizar que hayan implementado las políticas y procedimientos correctos.
Si este no es el caso, deben trabajar en un plan de implementación integral antes de la fecha límite de cumplimiento de octubre. Morin añade: “Esto podría incluir el uso de cifrado de extremo a extremo, un plan de recuperación ante desastres y/o la designación de agentes de seguridad”.
Cuando se trata de investigar la directiva NIS2, Thacker recomienda que las empresas del Reino Unido se centren en revisar los artículos 20 y 21 del Capítulo 3. Estas secciones detallan las medidas de gobernanza y gestión de riesgos de ciberseguridad que deben adoptar las empresas del Reino Unido con intereses comerciales en la UE, desde el manejo incidentes de seguridad cibernética hasta problemas de seguridad de la cadena de suministro.
Aunque es vital que las empresas comprendan e implementen estos requisitos, Thacker advierte que esto no es simplemente un ejercicio de lectura. Más bien, las empresas deben mejorar continuamente sus controles y medidas de seguridad cibernética a medida que surgen nuevos riesgos.
Aquí es donde pueden ayudar algunos principios y prácticas clave de ciberseguridad, el primero de los cuales es la confianza cero. Thacker explica que desarrollar y aplicar una estrategia de confianza cero permitirá a las empresas verificar a cualquiera que intente ingresar a sus redes y activos informáticos, protegiéndolos de partes maliciosas.
En segundo lugar, recomienda ampliar los procedimientos de configuración de dispositivos para cubrir los dispositivos de Internet de las cosas (IoT) y de tecnología operativa (OT), así como los dispositivos tradicionales, para lograr una “cobertura de seguridad integral”.
En tercer lugar, Thacker dice que las empresas pueden fortalecer sus programas de gestión de identidad y acceso combinándolos con medidas de gestión de activos y utilizando entrenamiento en tiempo real para mejorar la conciencia de los empleados sobre los problemas de seguridad cibernética.
Por último, insta a las empresas a adoptar un enfoque multifacético de gestión de amenazas. En lugar de simplemente utilizar técnicas de detección de malware basadas en firmas, Thacker sugiere agregar a la combinación amenazas internas y tácticas de ingeniería social.
Le dice a Computer Weekly: “El objetivo es mejorar la madurez general de las prácticas de seguridad cibernética de su organización, aprovechando los fundamentos existentes y mejorándolos para cumplir con los estándares NIS2”.
Un paso fundamental en el proceso de cumplimiento de NIS2 es obtener la aceptación y el apoyo de los miembros de la C-Suite, dice Rayna Stamboliyska, directora ejecutiva de la firma de asesoría RS Strategy. Ella dice que esto es particularmente importante para las empresas que no estaban sujetas a NIS1 en el pasado o si actualmente no ven la seguridad cibernética como una prioridad máxima.
Como parte de este proceso, Stamboliyska asesora a los equipos de seguridad cibernética y a los altos directivos para identificar servicios, procesos y activos críticos que deben estar cubiertos por los enfoques de mitigación y gestión de riesgos de NIS2.
“A lo largo de su recorrido de cumplimiento, debe involucrar a la alta dirección, ya que NIS2 tiene un enfoque específico en la gobernanza y la concientización que abarca a toda la dirección de la empresa y no solo al equipo o las funciones de seguridad cibernética”, afirma.
Además de involucrar a los ejecutivos en el proceso de cumplimiento, dice que los equipos de seguridad cibernética también deben garantizar que sus procedimientos de gestión de incidentes y de presentación de informes sigan las directrices NIS2. Esto se debe a que la directiva tiene “plazos y requisitos precisos” con respecto a estos asuntos.
Rob O’Connor, líder de tecnología y CISO del proveedor estadounidense de soluciones tecnológicas empresariales Insight, dice que las empresas que tuvieron que revisar sus operaciones para cumplir con GDPR no deberían tener problemas con el cumplimiento de NIS2.
“Habrán implementado medidas de seguridad más estrictas, un mejor cifrado y mejorado sus informes”, afirma. “Habrán revisado los planes de continuidad del negocio para garantizar que estén en mejores condiciones para recuperarse de los incidentes”.
Sin embargo, para las empresas nuevas en este tipo de procesos, O’Connor recomienda evaluar sus procesos de gestión de amenazas cibernéticas existentes y encontrar formas de mejorarlos a la luz de NIS2. Después de identificar cualquier brecha, deben crear e implementar un plan sólido de respuesta a incidentes de acuerdo con la directiva.
Agrega que deberían esforzarse por informar los incidentes cibernéticos a los órganos rectores lo más rápido posible, adoptar cifrado y autenticación multifactor para mayor protección, así como brindar capacitación en concientización sobre seguridad cibernética en toda la organización.
Desafíos a superar
Las empresas que inician su camino hacia el cumplimiento de NIS2 pueden enfrentar varios desafíos en el camino. Sebastian Gerlach, director senior de políticas y habilitación del sector público en EMEA del gigante de la seguridad cibernética Palo Alto Networks, lo describe como un cambio de paradigma para las pequeñas y medianas empresas.
“A menudo, al carecer de los recursos y la experiencia jurídica de sus contrapartes más grandes, estas entidades enfrentan una curva de aprendizaje más pronunciada para comprender y adherirse a las nuevas regulaciones”, dice Gerlach.
Bharat Mistry, director técnico para el Reino Unido e Irlanda de la plataforma de seguridad en la nube Trend Micro, está de acuerdo en que es probable que muchas empresas del Reino Unido tengan dificultades para cumplir con NIS2 debido al nivel de inversión, contratación y capacitación que requiere que realicen las empresas.
Advierte que actualizar la infraestructura de TI heredada, integrar tecnologías más nuevas en los sistemas existentes y establecer procedimientos sofisticados de respuesta a incidentes son pasos necesarios pero complejos de la directiva NIS2 que las empresas deben llevar a cabo. Mistry añade: “Además, garantizar el cumplimiento de la cadena de suministro y abordar los desafíos específicos del sector añade más dificultades, especialmente para las cadenas de suministro digitales o de software”.
Es más, a los equipos de seguridad de TI puede resultarles difícil alentar a los ejecutivos a ver el valor de invertir en defensas de seguridad cibernética y capacitación en concientización. Sin embargo, es una lucha que deben ganar para garantizar que la empresa cumpla con sus obligaciones NIS2.
Tom Ascroft, CISO del fabricante de software empresarial Unit4, señala que NIS2 requiere que los miembros de la junta directiva y los altos directivos comprendan las amenazas cibernéticas mediante la realización de cursos y capacitación en la industria.
“Brindar capacitación a este nivel puede ser un desafío para lanzar al nivel correcto”, dice. “Dicho esto, es una oportunidad para fortalecer aún más su postura de seguridad destacando esta necesidad e interactuando con estas partes interesadas”.
Independientemente de estos desafíos, las empresas deben tomar todas las medidas necesarias para superarlos y lograr el cumplimiento de NIS2 antes de la fecha límite de octubre. De lo contrario, enfrentan la perspectiva de fuertes multas y el daño a su reputación que conlleva la acción regulatoria.
“Aquellos que aún no cuentan con un seguimiento continuo o planes de respuesta a incidentes tuvieron que ponerse en marcha ayer”, concluye Morin. “Las sanciones por incumplimiento son elevadas y no vale la pena irritarse; hasta 10.000.000 de euros o el 2% de los ingresos anuales globales, lo que sea mayor”.