La Directiva SRI de 2016 original se centraba principalmente en establecer medidas básicas de ciberseguridad para proteger algunos servicios interconectados clave de la UE. La atención se centró en las infraestructuras consideradas esenciales (como la energía, el agua, el transporte, la sanidad y la banca) y cubiertas por las protecciones básicas establecidas por la Directiva.
La Directiva NIS2 amplía el ámbito de aplicación de la Directiva NIS original abarcando sectores y entidades adicionales. Abarca los operadores de servicios esenciales (OES) en sectores como la energía, el transporte, las infraestructuras bancarias y de los mercados financieros, la asistencia sanitaria, el suministro de agua y las infraestructuras digitales (como los mercados en línea, la computación en nube y los motores de búsqueda), así como las organizaciones que prestan apoyo a los OES.
Las organizaciones incluidas en NIS2 deben cumplir sus directivas antes del 17 de octubre de 2024. Cumplir ese plazo redunda en beneficio de las organizaciones: además de ofrecer recomendaciones eficaces en materia de ciberseguridad, la NIS2 también contempla multas de hasta 2% de la facturación global para las organizaciones que no la cumplan en determinadas situaciones.
Pero aunque NIS2 es claro sobre quién debe seguir las directivas y cuáles son las sanciones por no cumplirlas, una cosa que no define es cómo deben prepararse las organizaciones. Así pues, repasemos las directrices de NIS2 y las mejores prácticas que deben adoptar las organizaciones para cumplir la normativa y defenderse de las amenazas emergentes.
Para definir mejor las organizaciones que deben incluirse, se establecieron dos criterios básicos: sector y tamaño. Para abordar el sector, los Anexos 1 y 2 de NIS2 identifican sectores "Altamente Críticos" (también conocidos como entidades esenciales) y "Críticos" (también conocidos como entidades importantes). Hay once sectores Altamente Críticos, en su mayoría vinculados a las operaciones cotidianas de la economía de un país, como la energía, el transporte, la banca, los servicios de agua, la sanidad, las infraestructuras digitales, el gobierno y el espacio. Los sectores críticos están asociados a servicios clave que sustentan la economía de un país, como la fabricación y distribución de alimentos, productos químicos y mercancías, la gestión de residuos, los proveedores digitales como los proveedores de servicios de Internet (ISP) y la investigación.
En cuanto al tamaño, NIS2 clasifica las organizaciones en grandes y medianas. Las grandes son las que tienen más de 250 empleados e ingresos de al menos 50 millones de euros. Las medianas son las que tienen menos de 250 empleados y una facturación anual no superior a 50 millones de euros.
Para abordar la cooperación, NIS2 también establece una estructura para la notificación de incidentes. Esto incluye la formación de componentes como la autoridad competente, el punto de contacto único y el CSIRT (Equipo de Respuesta a Incidentes de Seguridad Informática). El artículo 23 establece lo que debe notificarse y los plazos.
El cumplimiento se define por la adhesión de las organizaciones a la aplicación de las medidas de gestión de riesgos de ciberseguridad recomendadas y los requisitos de información. Las multas por incumplimiento para estas empresas pueden ascender a 10 millones de euros (o hasta 2% del volumen de negocios mundial) para las entidades "muy críticas" o a 7 millones de euros para las entidades "críticas".
Antes del 17 de octubre de 2024, los Estados miembros deberán adoptar y publicar las medidas necesarias para cumplir la Directiva NIS2. Pero, ¿qué significa esto exactamente para las empresas afectadas?
NIS2 esboza medidas clave que los sectores y las organizaciones de infraestructuras digitales de toda la UE deben aplicar, como el uso de autenticación multifactor (MFA), políticas de control de acceso y gestión de activos, ciberhigiene básica y formación, entre otras medidas.
NIS2 no define cómo cumplir esas medidas. En su lugar, remite a otras normas como ISO, CIS, NIST o IEC, junto con los principios de confianza cero, como directrices que las organizaciones deben seguir para lograr la conformidad.
Dichas normas dan prioridad a la seguridad de la identidad -por ejemplo, la ISO27002 de seguridad de la información, ciberseguridad y protección de la privacidad proporciona orientaciones útiles para avanzar en el control de acceso, la gestión de identidades, la autenticación segura y otras capacidades que se alinean con NIS2. NIS2 también recomienda la siete principios de confianza cero, que también hacen hincapié en los controles de seguridad de la identidad.
Siguiendo estos dos planteamientos, las organizaciones afectadas dispondrán de una metodología exhaustiva para lograr la conformidad con NIS2 y defenderse de los ciberataques más frecuentes y dañinos.
Hay un viejo refrán que dice que las organizaciones nunca deben desaprovechar una buena crisis, y ese es el caso de NIS2, que obliga a las organizaciones a evaluar todos los aspectos de sus protocolos de seguridad y a centrarse en los principios de confianza cero y en las normas pertinentes que se aplican a su negocio. De este modo, las organizaciones no deberían enfocar NIS2 como un ejercicio de verificaciónSi se toman el tiempo necesario para evaluar su postura en materia de ciberseguridad, deberían invertir en las capacidades de defensa contra los ataques más frecuentes y de mayor impacto.
En la mayoría de los casos, tiende a ser la identidad. El informe 2023 Verizon Data Breach Investigations Report descubrió que "las tres formas principales en que los atacantes acceden a una organización son el robo de credenciales, el phishing y la explotación de vulnerabilidades". Además, el uso de credenciales robadas "se convirtió en el punto de entrada más popular para las brechas" durante el año pasado; el informe encontró que 49% de todas las brechas de datos involucraron credenciales.
No se trata solo de que la identidad sea el dominio que se ve comprometido en la mayoría de los ataques, sino también de que los ataques relacionados con la identidad tienden a ser los que más cuestan a las organizaciones. Según el informe de IBM Cost of a Data Breach Report 2023, el vector de ataque inicial más frecuente fue el phishing; también fue uno de los más caros, ya que costó a las organizaciones una media de $4,76 millones.
Aunque todos los ámbitos de la seguridad son importantes, la identidad, especialmente en el entorno de trabajo híbrido, desempeña un papel clave en la seguridad de su organización. Las organizaciones deben designar a un socio de seguridad centrado en la identidad para que lleve a cabo una evaluación de NIS2 y recomiende la mejor combinación de soluciones automatizadas de inteligencia de identidad, autenticación, gestión de accesos y gobernanza y ciclo de vida que le permitan proteger todos los recursos, identidades y entornos establecidos por la directiva NIS2.
Las organizaciones descubrirán que una plataforma de identidad unificada será la forma más sencilla de garantizar una revisión completa y exhaustiva de extremo a extremo y un conjunto de soluciones que puedan establecerse para superar todos los requisitos de NIS2 y escalar para satisfacer las necesidades futuras a medida que evolucionen los requisitos empresariales y de seguridad.
Para obtener más información, contacte con RSA para iniciar su evaluación de seguridad de identidad NIS2.
