Los retos de la nueva norma NIS2
La directiva europea sobre seguridad de las redes y los sistemas de información trae nuevas exigencias
La semana pasada, la UE aprobó la nueva Directiva sobre seguridad de las redes y los sistemas de información, NIS2, cuyo objeto es seguir mejorando la capacidad de resiliencia y de respuesta a los incidentes tanto del sector público como del privado y de la UE en su conjunto.
La NIS2 establecerá la base de referencia en la gestión de riesgos de ciberseguridad y las obligaciones de información en todos los sectores cubiertos por la directiva, como la energía, el transporte, la sanidad y las infraestructuras digitales. En relación con las implicaciones que la nueva directiva tendrá sobre la postura de ciberseguridad de las organizaciones, Andy Norton, responsable europeo de ciberriesgos de la empresa Armis, asegura que “va más allá del simple cumplimiento de requisitos”. A su juicio, la actual NIS “tiene como objetivo que se apliquen controles adecuados y proporcionados utilizando las últimas tecnologías. Además, en la última revisión de la directiva NIS existente, conocida como NIS2, se introduce otro nivel de sanción. Anteriormente las multas por la NIS se establecían en función de las brechas de ciberseguridad, sin embargo, en el proyecto de propuesta de NIS2, el artículo 18 prescribe un conjunto mínimo de funciones de cumplimiento que una entidad esencial o importante necesita adoptar”.
De esta firma, “la no implementación de este conjunto mínimo de requisitos expone ahora a la organización a multas de hasta 10 millones de euros o el 2% de los ingresos globales establecidos en el artículo 31”.
El primero de los requisitos mínimos es disponer de un análisis de riesgos adecuado. Esto, por sí solo, “supone un importante desafío para la mayoría de las entidades que ofrecen servicios esenciales”, porque el análisis de riesgos se basa, explica Andy Norton, “en la comprensión de los activos y dispositivos críticos que ejecutan la función esencial”, y hay que tener en cuenta que “la mayoría de estas organizaciones no disponen de un inventario de activos actualizado y preciso, este es obsoleto o, en el mejor de los casos, es parcial”. Para validar que el gasto en ciberseguridad no es simplemente un castillo de naipes,” será vital que las organizaciones demuestren primero que su análisis de riesgos es adecuado y apropiado y está en línea con la directiva NIS2”.