Todas las organizaciones europeas tienen la mirada puesta en la directiva NIS2 para tener a punto su seguridad para octubre de 2024, que entra la normativa en vigor. Hablamos con Mario García, director general de Check Point Software para España y Portugal, sobre las medidas que impone NIS2 y las consecuencias económicas, de seguridad y de reputación de no cumplirlas.
¿Cómo han afectado los ciberataques recientes a las empresas?
España ha experimentado un número creciente de ataques más extensos, intensos y sofisticados. En el primer trimestre de 2024, se ha registrado un promedio de 1.152 ciberataques semanales por empresa, cifra cercana a la media mundial (1.308), según datos de nuestro equipo de Check Point Research.
Está claro que los ciberataques recientes a grandes empresas en España han tenido un impacto significativo en las compañías y han causado interrupciones operativas, pérdidas económicas y daños reputacionales. Los atacantes han desplegado tácticas cada vez más sofisticadas, como el ransomware o el phishing, lo que ha aumentado las brechas de datos y la exposición de información sensible. A esto hay que sumarle la aparición de la IA Generativa y el efecto que ha tenido en la creación de nuevos ciberataques mucho más sofisticados y creíbles.
Además, según los datos de una encuesta que realizamos hace unos meses junto a Vanson Bourne, la brecha de profesionales formados en ciberseguridad afecta gravemente a la eficacia con la que las compañías pueden establecer un sistema de defensa adecuado contra la ciberdelincuencia basada en IA. De hecho, el 98% de los encuestados ha señalado que ha tenido un ‘impacto’ en sus operaciones de seguridad, y el 40% ha destacado un ‘fuerte impacto‘. Esto solo señala el hecho de que la normativa en ciberseguridad y todas las medidas van a ser pocas a la hora de proteger a una empresa de los ciberataques.
NIS2 describe un nivel adecuado de protección, que por supuesto está abierto a la interpretación
¿Qué medidas pueden tomar las empresas para protegerse?
Para protegerse, las empresas deben capacitar a los empleados para reconocer y responder adecuadamente a los ciberataques e implementar soluciones de seguridad para dispositivos, como antivirus o firewalls. En este entorno, es indispensable gestionar identidades y acceso, de manera que solo las personas autorizadas puedan acceder a datos y sistemas críticos; así como emplear sistemas de detección y respuesta ante amenazas para identificar y mitigar ataques en tiempo real.
¿Cuál es el objetivo de la Directiva NIS2?
Como conjunto de directrices y requisitos de ciberseguridad establecidos por la Unión Europea (UE), la NIS2 se va a convertir en el nuevo conjunto de obligaciones de ciberseguridad para las empresas europeas de muchos sectores considerados críticos para la economía. Por ello, exige la aplicación de medidas adecuadas para proteger sus redes y sistemas de información. Los 27 Estados miembros de la UE tendrán que incorporar estas nuevas obligaciones a sus legislaciones nacionales y hacerlas efectivas para octubre de 2024.
Las multas pueden acarrear también una responsabilidad personal para los directores generales, lo que supone una primicia en ciberseguridad
Hay dos tipos de organizaciones que se verán afectadas por el NIS2: las que tengan implantada una política de ciberseguridad que observe la continuidad del negocio y los riesgos a los que se enfrenta, las cuales tendrán poco trabajo extra. Y, por otro lado, las organizaciones que no tienen una política de ciberseguridad. Estas tienen más trabajo por delante, ya que necesitan evaluar su postura de ciberseguridad y hacer un análisis de riesgos. Además, tienen que invertir en formación y concienciación sobre seguridad a todos los niveles y aplicar medidas técnicas. Todo esto debe hacerse antes de que la ley entre en vigor.
¿Qué medidas introduce NIS2 para reforzar la ciberseguridad?
La cuestión es que se trata de una directriz que no contiene ni una lista de comprobación ni un conjunto de requisitos mínimos. Describe un nivel adecuado de protección, que por supuesto está abierto a la interpretación.
Lo mejor es empezar por analizar la situación actual, crear una hoja de ruta con objetivos y plazos claros y ponerse en marcha. Esto repercutirá en toda la organización y, en algunos sectores, puede tener un profundo efecto en la cultura interna de la empresa, la fijación de su presupuesto, la contratación de personal y otros aspectos. Sin embargo, como requisito mínimo, podemos suponer que incluye tecnologías de cortafuegos y prevención de intrusiones en la red, protección de los endpoints, implantación de la autenticación multifactor, cifrado de datos y restricción del acceso, así como otras buenas prácticas.
¿Son conscientes las empresas de esta directiva y de lo que supone?
Aunque muchas empresas están al tanto de la Directiva NIS2, todavía existe un nivel de concienciación desigual. Es crucial que comprendan plenamente los requisitos y las implicaciones de la directiva para asegurarse de estar preparadas para su implementación.
La NIS2 creará la necesidad de examinar de cerca toda la cadena de suministro y de crear una estrategia en torno a los terceros, que tendrá una gran influencia en las empresas de todo el mundo, no solo en las de la UE
¿A qué sanciones se puede enfrentar una empresa si no cumple con la normativa NIS2?
Las empresas que entren en el ámbito de aplicación de la NIS2, pero no la cumplan, podrían enfrentarse a una serie de implicaciones legales, incluidas multas y otras sanciones similares a las establecidas para en la normativa de RGPD. Cumplir con NIS2 no es solo una obligación regulatoria, sino una necesidad estratégica para proteger a las empresas contra unas ciberamenazas que están creciendo permanentemente. La realidad es que, si no se adaptan a tiempo, los negocios españoles se expondrán a sanciones financieras severas con multas de hasta 10 millones de euros o el 2% de su facturación global anual.
Además, el incumplimiento puede dar lugar a la exposición a acciones legales por parte de clientes u otras partes que sufran daños debido a medidas de ciberseguridad inadecuadas. Para que esto se tome en serio, la directiva deja claro que el cumplimiento debe demostrarse y que la falta de concienciación no es excusa. Esto último impulsará a todas las partes interesadas, desde los directores de TI, a los CISO, los DPO, hasta el consejo de administración, para que sean conscientes y puedan tomar las medidas oportunas. Las multas pueden acarrear también una responsabilidad personal para los directores generales, lo que supone una primicia en ciberseguridad.
La responsabilidad personal, las posibles acciones legales, las multas y la obligación de informar de todos y cada uno de los problemas a las autoridades en un plazo de 24 horas serán un importante motor de cambio de comportamiento. El hecho de que partes externas puedan influir potencialmente en los servicios de una empresa creará la necesidad de examinar de cerca toda la cadena de suministro. Esto significa que los directores generales y otros altos cargos tendrán que crear una estrategia en torno a los terceros, que tendrá una gran influencia en las empresas de todo el mundo, no solo en las de la UE.