Europa lleva tiempo trabajando en normativas que protejan a las empresas del cibercrimen. Las directivas DORA y NIS2 son un reflejo de esta labor que esperan redundar en un tejido empresarial más transparente, resiliente y, en definitiva, seguro. Un caldo de cultivo donde la tecnología y los proveedores TIC son protagonistas indiscutibles.
Para adaptarse a los requisitos que van a ir imponiendo estas normativas, la tecnología es un gran aliado. El cumplimiento normativo se impone como un componente indispensable en determinados sectores críticos como la banca, los seguros o los servicios esenciales.
La directiva NIS2 exige a las empresas fortalecer sus medidas de seguridad cibernética.La NIS2 está en vigor el 16 de enero de 2023 y su fecha límite de cumplimiento está establecida para el 18 de octubre de 2024. Esta normativa es una revisión de la NIS que afecta a organizaciones con volumen de negocio superior a diez millones de euros o cincuenta empleados o más dentro de 18 sectores críticos. Entre ellos está energía, transporte, banca, mercados financieros, sanidad, agua potable, infraestructuras digitales, sanidad, transporte o finanzas.
En el caso de la ley DORA, entrará en vigor el 17 de enero de 2025 en la Unión Europa. Una normativa que regula a todos la ciberresiliencia de todos los actores del sector financiero. Pero no solo a ellos. La regulación contempla a los proveedores TIC como una parte fundamental de este entramado de protección.
Para las empresas implicadas en España, cumplir con NIS2 o DORA no es solo una cuestión de evitar sanciones, sino también de asegurar la confianza de los partners comerciales y del público en general. Lo comenta Elisa G., consultora de Ciberseguridad de Babel: «La NIS2 representa una oportunidad única para que las empresas españolas evalúen y fortalezcan sus estrategias de ciberseguridad«.
Sin embargo, según Kaspersky, muchas empresas aún no están preparadas o no saben qué tecnología será imprescindible para adaptarse a estas normativas. Aún así, el 83% confían en llegar a tiempo.
Tecnologías implicadas en DORA y NIS2
Aunque con matices diferentes, ambas normativas europeas hacen foco en la ciberprotección de las empresas que operen en la Unión Europea. Ambas exigen una serie de requisitos que permitan mitigar y minimizar ciberamenazas y responder a estas con mayores garantías de recuperación y resiliencia.
Al calor de esta oportunidad son muchas las tecnológicas que están promocionando sus soluciones para adaptarse. Fabricantes de ciberseguridad, de almacenamiento, de gobernanza de datos o cumplimiento normativo están presentes en esta oleada comercial donde los partners son fundamentales para su penetración en las empresas.
Los fabricantes a su vez están centralizando las tecnologías en una única plataforma para ayudar a que el despliegue y cumplimiento normativo sea más sencillo. Así lo hace por ejemplo, Virtual Cable que desde su plataforma UDS Enterprise asegura la alineación con las regulaciones europeas, proporcionando seguridad operativa, resiliencia y protección de datos para las empresas.
No obstante, por nuestra parte, destacamos algunas tecnologías esenciales de manera general, independientemente de que vayan incluidas en soluciones unificadas para adaptarse a DORA y NIS2:
- Sistemas de gestión de ciberseguridad para la gestión del acceso a la información y trazabilidad de la misma.
- Plataformas SIEM (Security Information and Event Management) con las que analizar los datos en tiempo real para detectar amenazas y gestionar incidentes.
- Sistemas de detección y respuesta ante incidentes (EDR/XDR) para detectar ataques en endpoints y redes y responder automáticamente a incidentes.
- Sistemas de análisis de vulnerabilidades para evaluar y gestionar los riesgos en unidades críticas.
- Gestión de identidades (IAM y PKI) para administrar certificados y autentificaciones seguras.
- Automatización y orquestación de seguridad (SOAR) para colaborar entre unidades ante incidentes.
- Sistemas de recuperación ante desastres para garantizar la disponibilidad de datos críticos y restauración rápida tras incidentes.
- Sistemas de continuidad de negocio (BCP/DR): Plataformas que aseguran la continuidad operativa tras una interrupción digital.
- Tecnologías de auditoría y cumplimiento automatizado para auditar automáticamente los sistemas en busca de vulnerabilidades y deficiencias regulatorias.
- Supervisión de infraestructura crítica con tecnología para monitorear y gestionar infraestructuras TI en tiempo real.
Por supuesto, evaluar cada caso concreto será fundamental para la adopción de estas tecnologías. Igualmente lo será apoyarse en referentes tecnológicos especializados con los que acompañar a los clientes en esta adaptación normativa.
Adaptarse sí o sí
La adaptación por parte de las empresas implicadas a DORA y NIS2 ya está suponiendo un movimiento entre partners y proveedores TI. Y es que adaptarse en obligatorio a leyes como NIS2, tal y como cuenta David López, Cybersecurity Product Specialist de Ricoh España:
“La necesidad de adaptarse a sus requerimientos es crucial ya no solo para conseguir una mayor ciberresiliencia, que es fundamental ante los riesgos actuales de ciberseguridad, sino porque su incumplimiento implicará multas, que pueden alcanzar hasta los 10 millones de euros o el 2% de la facturación anual de una empresa”.
Y no es para menos. No solo el riesgo a ser multado pasará a ser una realidad en los tiempos estipulados, sino también la posibilidad de ser atacada. Las directivas buscan reducir el impacto de estos ciberataques que ocurrirán sí o sí a todas las empresas, sin importar tamaño, sector o condición.
Más vulnerables aún serán aquellas que estén en procesos de fusión, adquisición o venta. Según Zscaler, la implementación de una arquitectura de seguridad basada en el modelo zero trust será aún más clave en estas operaciones. Este enfoque permite a las compañías reducir la superficie de ataque, proteger datos sensibles y garantizar la continuidad del negocio, independientemente de la complejidad de las transacciones.
