El histórico proyecto de ley de seguridad cibernética NIS2 de la Unión Europea (UE) ha entrado en plena vigencia, lo que significa que las empresas ahora deben cumplir con sus requisitos o enfrentar fuertes multas.
Según la directiva, que tiene como objetivo armonizar las normas y procedimientos de seguridad cibernética en todo el bloque, las empresas con sede en la UE que operan en sectores críticos (incluidos la energía, el transporte, el agua, los servicios financieros y la atención médica) ahora deben implementar estrictas salvaguardias de seguridad cibernética e informar sobre amenazas cibernéticas graves. a las autoridades correspondientes.
Dada su importancia en una variedad de cadenas de suministro, también se espera que los proveedores de TI, como los motores de búsqueda, las empresas de computación en la nube y los minoristas en línea, sigan estas reglas, mientras que los propios estados miembros de la UE deberán crear su propio equipo de respuesta a incidentes de seguridad informática ( CSIRT), así como una autoridad nacional de redes y sistemas de información, si aún no lo han hecho.
Las empresas del Reino Unido que suministran sus productos y servicios a clientes con sede en la UE también deben cumplir con los requisitos NIS2 para mantener las operaciones y el acceso al mercado con la UE, ya que se aplica a cualquier entidad esencial o importante que preste servicios o lleve a cabo sus actividades dentro de la UE, independientemente de si la entidad tiene un establecimiento dentro de sus fronteras.
El incumplimiento de las obligaciones de informes y gestión de riesgos de seguridad cibernética del reglamento podría hacer que las organizaciones sean multadas con un mínimo de 7.000.000 € (o el 1,4 % de los ingresos anuales globales), o un máximo de 10.000.000 € (o el 2 % de los ingresos anuales globales). . En cualquier caso, la empresa será multada el monto que sea mayor.
Bart Salaets, director de tecnología (CTO) de campo para EMEA en F5, dijo que NIS2 se aplicará a una gama mucho más amplia de organizaciones que quizás no hayan priorizado previamente la seguridad cibernética: “Uno de los mayores desafíos de una atención regulatoria intensificada sobre la seguridad es la mayor complejidad a la hora de proteger y monitorear las infraestructuras digitales que abarcan cada vez más múltiples nubes y centros de datos internos.
“Para navegar la legislación, las organizaciones deben crear visibilidad centralizada e informes unificados en todas las plataformas de seguridad. La necesidad de soluciones integradas y herramientas de generación de informes sofisticadas (potencialmente impulsadas por IA) será esencial para ayudar a las organizaciones a cumplir con sus obligaciones de presentación de informes según NIS2”.
Mike Smith, director de ingeniería y seguridad de Qodea, añadió que las empresas deberán ser conscientes de que NIS2 incluye una definición mucho más granular de quién debe ser responsable de la regulación, dadas las nuevas clasificaciones para las diferentes empresas.
“Incluso si una organización no estaba sujeta a NIS1, ahora puede estar bajo el alcance de NIS2. Esto podría suponer una curva de aprendizaje pronunciada para algunas organizaciones”, afirmó. “Aquellos que ya han invertido significativamente en infraestructuras de seguridad modernas deberían tener una adaptación relativamente fácil, pero aquellos que no lo han hecho rápidamente se quedarán aún más atrás”.
Según David Higgins, director senior de la oficina de tecnología de campo de CyberArk, el artículo 21 de NIS2 en particular significa que las empresas tendrán que implementar “medidas sólidas de seguridad cibernética para proteger sus cadenas de suministro y aplicar el acceso de confianza cero”, lo que significa que la seguridad de la identidad Seguir los principios de confianza cero ocupará un lugar central desde el punto de vista del cumplimiento.
“Esto es especialmente importante ya que las organizaciones tienen que proteger una enorme red de amenazas bajo NIS2, incluidos subcontratistas y proveedores de servicios. Las empresas también deben cumplir importantes requisitos del artículo 21 de NIS2 relacionados con el manejo y la notificación de incidentes”, dijo.
“Tener una estrategia sólida de seguridad de identidad es importante aquí, no sólo para proteger la infraestructura vital contra esos inevitables ataques futuros, sino también para rastrear y gestionar el manejo de información crítica en tiempo real”.
Al comentar sobre la fecha límite de implementación de NIS2, Tim Wright, socio y abogado de tecnología de Fladgate, dijo que “el estado de implementación varía significativamente en todo el bloque”, y sólo un puñado de países lo han transpuesto a sus leyes nacionales.
Si bien se espera que los estados miembros publiquen leyes nacionales que cumplan con la directiva antes de la fecha límite de cumplimiento del 17 de octubre de 2024, hasta ahora solo seis estados miembros han integrado NIS2 en sus estatutos nacionales. Se trata de Bélgica, Croacia, Grecia, Hungría, Letonia y Lituania.
Aunque la mayoría de los demás países de la UE han iniciado el proceso legislativo para transponer NIS2, tres (Bulgaria, Estonia y Portugal) aún no han comenzado el proceso.
Wright añadió que la eficacia de NIS2 dependerá en última instancia de su “implementación y cumplimiento consistentes en todos los estados miembros”, y que si bien debería impulsar mejoras significativas en la postura cibernética general del bloque, la seguridad cibernética es una carrera armamentista.
“NIS2 debería convertir a la UE en un objetivo más difícil, pero los adversarios decididos seguirán investigando las debilidades”, dijo. “El éxito de la directiva depende de qué tan bien se implemente y de si puede fomentar una verdadera cultura de seguridad cibernética, no solo de cumplimiento”.