5 pasos para adaptarse a los requerimientos de la NIS2
A mediados de octubre, las empresas deberán tener todo listo para cumplir con la NIS2, la nueva directiva europea sobre redes y sistemas de información, que sustituye a la anterior normativa que data de 2016.
La NIS2, que entró en vigor a principios de este año, comenzará a aplicarse y obligará a miles de empresas a adoptar un conjunto de medidas para aumentar la resiliencia y las capacidades de respuesta ante incidentes tanto del sector público como del privado, y del territorio de la Unión Europea en su conjunto.
A día de hoy, según un informe sectorial, solo el 12% de las compañías españolas cumplen los requisitos de esta norma, dos puntos porcentuales menos que la media europea, aunque más del 80% de los directores de TI confían en que sus organizaciones los cumplirán cuando se aproxime la fecha de aplicación. “Aunque la UE y sus organismos llevan mucho tiempo trabajando en esta normativa, y las empresas afectadas han sido informadas, es fundamental que los departamentos de TI, de ciberseguridad, gestión de riesgos y legal se coordinen para que en los tres meses que quedan, tengan todo preparado y no dejarlo todo para el final”, explica Juan Francisco Moreda, responsable de /fsafe, la unidad de ciberseguridad de fibratel.
En este sentido, el especialista de fibratel recuerda que la directiva tiene implicaciones para aproximadamente 100.000 empresas, consideradas esenciales e importantes, de una gran variedad de sectores, que tendrán que implantar de forma proactiva una serie de medidas en materia de gestión y notificación de incidentes, protección de la cadena de suministro, intercambio de información y divulgación de vulnerabilidades, programas de concienciación y formación, etc. “Las compañías a las que afecta ya han sido debidamente notificadas y, desde fibratel, creemos que esta nueva norma, una vez que se transponga a los ordenamientos jurídicos de los Estados, supondrá un punto de inflexión para la ciberseguridad en Europa, con una mejor comprensión de los riesgos, más capacidad de respuesta ante amenazas y una mayor ciberresiliencia. Por eso, la adaptación a sus requerimientos es crítica”, subraya el experto.
La unidad de ciberseguridad de fibratel ha reunido un conjunto de consideraciones para guiar a sus clientes españoles y que cumplan sin problemas los criterios establecidos en la NIS2:
• Preparación para la aplicación de la Directiva: el ámbito de aplicación de esta normativa se ha ampliado, y afecta a organizaciones calificadas como esenciales (transportes, utilities, salud, banca, operadores de telecomunicaciones e Internet, etc.) e importantes (servicios postales y de mensajería, plataformas soluciones, buscadores, alimentación, plantas químicas, etc.). Es un buen momento para entender los requisitos de la norma, las obligaciones que supone para compañía, su estado actual y las medidas implementar.
• Mejores prácticas en gestión de riesgos: ligado al anterior punto, será necesario identificar y evaluar los riesgos, y establecer políticas y procedimientos que permitan mejorar la postura de ciberseguridad.
• Implementación de medidas: la norma exige que se tomen una serie de medidas de prevención, como la implementación de autenticación multifactor y controles de acceso a los sistemas y aplicaciones, sistemas de detección de amenazas, bloqueo y minimización del impacto de ciberataques, así como habilitar sistemas de continuidad de negocio.
• Revisión del proceso de notificación de incidentes: las incidencias importantes tendrán que notificarse en 24 horas y las menos relevantes en 72. Por tanto, deberán definirse planes efectivos de respuesta y procedimientos claros de notificación.
• Formación: la ley exige políticas de ciberhigiene y formación en ciberseguridad para todos los empleados.
La cuenta atrás para la aplicación ha comenzado y puede ser un revulsivo para que la ciberseguridad acabe integrándose en la cultura corporativa. Para el experto de fibratel, “los proveedores de servicios gestionados tendremos un rol más relevante que nunca, tanto en la ejecución de proyectos que garanticen una correcta planificación y ejecución, como en mejorar la capacidad de respuesta de nuestros clientes”.
Juan F. Moreda de fibratel