spot_img

La Directiva NIS2 y el posicionamiento estratégico de las empresas en España

Análisis

Sergio Suñer Chico
Sergio Suñer Chico
Graduado en Criminología y Derecho por la Universidad Autónoma de Barcelona, especializándose en Gobernanza, Riesgo y Cumplimiento (GRC) a través de un Máster codirigido por Deloitte. Paralelamente, cursa el Máster Profesional de Analista Estratégico y Prospectivo, desarrollando competencias avanzadas en análisis estratégico, anticipación de riesgos y toma de decisiones. Ha completado el programa de aprendizaje Forward de McKinsey, centrado en adaptabilidad, resiliencia, resolución de problemas y comunicación efectiva.

Este artículo pretende examinar, desde una perspectiva ciberestratégica, los desafíos y oportunidades que presenta la Directiva NIS2, incluyendo su Reglamento de Ejecución, para las organizaciones en España y cómo pueden posicionarse estratégicamente en este nuevo escenario. El alumno becado para el Máster Profesional de Analista Estratégico y Prospectivo de LISA Institute, Sergio Suñer Chico, explica las principales novedades de la Directiva NIS2.

La protección de infraestructuras críticas y de los sectores esenciales se ha convertido en un desafío fundamental en el contexto digital actual. El 17 de octubre de 2024 era la fecha límite establecida por la Directiva NIS2 (UE 2022/2555) para que los Estados miembros de la UE traspusieran esta normativa a sus legislaciones nacionales. Sin embargo, España no ha llevado a cabo esta trasposición, lo que significa que, desde el 18 de octubre, la directiva es de aplicación directa en el país en base al efecto directo del Derecho Comunitario.

La necesidad de la Directiva NIS2

La Directiva NIS original, aunque pionera en establecer un marco común de ciberseguridad en la UE, mostró ciertas limitaciones. La tardía adopción de la NIS en España, formalizada mediante el Real Decreto-ley 12/2018 y desarrollada con el RD 43/2021, generó confusión regulatoria y un cumplimiento desigual entre las empresas. Además, la falta de control y sanciones efectivas redujo la urgencia para implementar medidas de ciberseguridad, dejando a infraestructuras críticas vulnerables a ciberataques.

Estos problemas resaltan la importancia de abordar rápidamente la trasposición de la NIS2 para evitar lagunas regulatorias, pérdida de confianza y una adaptación lenta a nuevos desafíos cibernéticos.

➡️ Te puede interesar: Los 10 proyectos de inteligencia artificial que están redefiniendo la ciberseguridad 

La Directiva NIS2 surge para abordar estas deficiencias, tales como el insuficiente nivel de ciberresiliencia de las empresas que operan en la UE, la resiliencia inconsistente entre los Estados miembros y sectores, la falta de comprensión común de las principales amenazas y la ausencia de respuesta conjunta ante crisis.

La pandemia de COVID-19 intensificó estas debilidades al acelerar la transformación digital y expandir el panorama de amenazas cibernéticas. Además, el creciente número de ciberataques en España, que alcanzó los 107.777 en 2023, un 94% más que en 2022, subraya la urgencia de un marco más robusto y adaptativo que aborde las vulnerabilidades actuales.

Principales novedades estratégicas de la Directiva NIS2

Ampliación del ámbito y cobertura

La NIS2 amplía significativamente su alcance, cubriendo más sectores y tipos de entidades. Además de sectores críticos como energía, transporte, telecomunicaciones, agua y salud, incluye ahora sectores como servicios postales y de mensajería, gestión de residuos, fabricación de dispositivos médicos, fabricación de productos farmacéuticos, proveedores de servicios digitales y organizaciones de investigación. También incorpora a proveedores de servicios DNS, registros de nombres de dominios de primer nivel, proveedores de servicios de computación en la nube, proveedores de servicios de centros de datos y proveedores de redes de distribución de contenidos.

La directiva introduce una regla basada en el tamaño, incluyendo automáticamente a todas las empresas medianas y grandes de sectores seleccionados, eliminando la distinción entre operadores de servicios esenciales y proveedores de servicios digitales. Este enfoque garantiza que la protección abarque todo el ecosistema digital, fortaleciendo así la resiliencia colectiva.

Fortalecimiento de requisitos de seguridad y notificación

La directiva establece un enfoque de gestión de riesgos más riguroso, proporcionando una lista mínima de 10 elementos clave de seguridad que las empresas deben aplicar, incluyendo la gestión de incidentes, seguridad en la cadena de suministro, gestión de vulnerabilidades y el uso de cifrado. El Reglamento de Ejecución de la Comisión detalla los requisitos técnicos y metodológicos que deben cumplir entidades específicas, como proveedores de servicios en la nube y centros de datos.

➡️ Te puede interesar: Estrategias clave para el borrado seguro de datos en equipos militares y bélicos

En cuanto a la notificación de incidentes, se adopta un enfoque de múltiples etapas:

  • Alerta temprana dentro de las 24 horas de haber detectado el incidente.
  • Notificación del incidente dentro de las 72 horas.
  • Informe final no más tarde de un mes después.
Figura 2: Incident Reporting. Fuente: ENISA

El Reglamento de Ejecución especifica los casos en que un incidente debe considerarse significativo y reportarse a las autoridades nacionales, estableciendo criterios claros para diferentes tipos de entidades.

Seguridad de la cadena de suministro y relaciones con proveedores

La NIS2 aborda la seguridad de las cadenas de suministro y las relaciones con proveedores, requiriendo que las empresas aborden los riesgos de ciberseguridad en estas áreas. El Reglamento de Ejecución refuerza estas disposiciones al detallar las medidas que deben adoptar las entidades para gestionar riesgos asociados con terceros.

Supervisión y cumplimiento más estrictos

La directiva introduce medidas de supervisión más estrictas para las autoridades nacionales y establece un marco coherente para las sanciones en toda la Unión Europea, armonizando los regímenes de sanciones entre los Estados miembros.

Retos y oportunidades ante el retraso en la trasposición

Retos estratégicos

➡️ Te puede interesar: ¿Cómo la inteligencia artificial está transformando la ciberseguridad?

Oportunidades estratégicas

  • Preparación anticipada: Las organizaciones pueden utilizar el Reglamento de Ejecución de la Directiva NIS2 como guía para adaptarse a las nuevas exigencias, incluso sin una trasposición nacional.
  • Liderazgo competitivo: La adaptación proactiva fortalece la reputación y confianza en mercados donde la ciberseguridad es crucial.
  • Mejora de la Cooperación: La directiva promueve una mayor cooperación entre Estados miembros, facilitando el intercambio de información y respuestas conjuntas a amenazas cibernéticas.

Estrategias de adaptación y recursos disponibles

Implementación de medidas de seguridad reforzadas

Fortalecimiento de la cadena de suministro

  • Evaluar y gestionar los riesgos asociados con proveedores y socios.
  • Integrar cláusulas de ciberseguridad en contratos y acuerdos.

Mejora de la cooperación y comunicación

  • Participar en iniciativas y redes de cooperación tanto a nivel nacional como europeo.
  • Establecer canales de comunicación efectivos con autoridades competentes, como el INCIBE.

Formación y concienciación

  • Implementar programas de formación en ciberseguridad para todo el personal.
  • Fomentar una cultura organizacional que priorice la seguridad de la información.

Conclusiones y recomendaciones

La Directiva NIS2 y el reciente Reglamento de Ejecución representan pasos importantes hacia la mejora de la ciberseguridad y la resiliencia de los sistemas de red e información en España. Aunque la implementación de la directiva presenta desafíos, los beneficios en términos de reducción de riesgos y mejora de la resiliencia son significativos.

➡️ Te puede interesar: 🎧 Código LISA – Los mayores ciberataques en la historia de la Ciberseguridad 

Recomendaciones estratégicas

  • Adoptar proactivamente la NIS2 y el Reglamento de Ejecución: Implementar las disposiciones de la directiva y del reglamento sin esperar a la trasposición nacional.
  • Invertir en ciberresiliencia: Destinar recursos a mejorar las capacidades de detección, respuesta y recuperación ante incidentes.
  • Colaborar y compartir información: Aprovechar las redes y grupos de cooperación para mantenerse actualizado sobre amenazas y mejores prácticas.
  • Alinear la estrategia corporativa: Integrar la ciberseguridad en la planificación estratégica y en la gestión de riesgos corporativos.

Aquellas organizaciones que adopten estas recomendaciones estarán mejor posicionadas para enfrentar los desafíos actuales y futuros, convirtiendo la ciberseguridad en un diferenciador competitivo.

➡️ Si quieres adentrarte en el mundo de la Ciberseguridad, te recomendamos los siguientes programas formativos:

Artículos relacionados

Masterclass y eventos relacionados

Formación relacionada

spot_img

Actualidad

Dejar respuesta:

Por favor, introduce tu comentario!
Introduce tu nombre aquí

spot_img