Las empresas han estado trabajando arduamente para cambiar su cultura internamente y garantizar que se toman en serio la amenaza de las infracciones cibernéticas y los incidentes de interrupciones.
Andrés Brookes | Fuente de la imagen | Imágenes falsas
Las nuevas regulaciones de la Unión Europea que exigen a las empresas reforzar sus defensas cibernéticas han tenido un comienzo lento, ya que muchos estados miembros no han adoptado las reglas a tiempo para cumplir con un plazo clave de aplicación, según una investigación que monitorea el progreso de la directiva.
La directiva de ciberseguridad NIS 2 de la UE establece un alto punto de referencia para las empresas sobre sus sistemas y prácticas internos de ciberseguridad. Impone requisitos más estrictos en materia de gestión de riesgos, obligaciones de transparencia y planificación de la continuidad del negocio, en caso de una infracción cibernética.
El jueves, la nueva directiva pasó a ser oficialmente ejecutable por los estados miembros. Eso significa que las empresas ahora deben asegurarse de que sus operaciones estén a la altura de las reglas. Sin embargo, la mayoría de los estados miembros de la UE aún tienen que implementar NIS 2 en sus respectivas leyes nacionales, lo que significa que es probable que su aplicación sea irregular.
Dos países, Portugal y Bulgaria, no han comenzado el proceso de transposición de NIS 2, donde las directivas se incorporan a las leyes nacionales de los estados miembros de la UE, según una herramienta de seguimiento de la organización de investigación de Internet DNS Research Federation. Los gobiernos de Portugal y Bulgaria no estuvieron disponibles de inmediato para hacer comentarios cuando CNBC los contactó el miércoles.
“El estado de implementación varía significativamente en todo el bloque”, dijo a CNBC por correo electrónico Tim Wright, socio y abogado de tecnología de Fladgate.
¿Qué es NIS 2?
NIS 2, o Directiva de seguridad de la información y las redes 2, es una directiva de la UE que tiene como objetivo aumentar la seguridad de los sistemas y redes de TI en todo el bloque. Propuesta por primera vez en 2020, la ley sirve como una actualización de una directiva anterior llamada simplemente NIS.
NIS 2 amplía el alcance de su predecesor para abordar desafíos y amenazas de ciberseguridad más recientes, a medida que los delincuentes han encontrado nuevas formas de piratear empresas y comprometer sus datos confidenciales.
La directiva se aplica a organizaciones que operan dentro de la UE y brindan servicios esenciales a los consumidores, incluidos bancos, proveedores de energía, instituciones de atención médica, proveedores de Internet, empresas de transporte y procesadores de residuos.
Las empresas tendrán el “deber de diligencia” de informar y compartir información sobre vulnerabilidades cibernéticas y ataques con otras empresas según la nueva regulación, incluso si eso significa reconocer que han sido víctimas de una vulneración cibernética.
Si una empresa es víctima de una vulneración cibernética, tendrá 24 horas para enviar una notificación de alerta temprana a las autoridades, un plazo más estricto que el plazo de 72 horas que tienen las empresas para notificar a las autoridades sobre una vulneración de datos según el Reglamento General de Protección de Datos. una ley de privacidad de datos separada en la UE.
Las empresas también tendrán que examinar a sus proveedores de tecnología uno por uno en busca de amenazas y vulnerabilidades cibernéticas.
¿Será efectivo?
Wright, de Fladgate, dijo que la eficacia de NIS 2 como regulación dependerá en gran medida de una implementación y cumplimiento consistentes en todos los estados miembros de la UE.
“Los malos actores pueden apuntar a países rezagados en su transposición NIS2 o buscar debilidades en las cadenas de suministro, apuntando a proveedores más pequeños y menos seguros para obtener acceso a organizaciones más grandes y mejor protegidas”, dijo a CNBC.
Las empresas han estado trabajando para poner en forma sus procesos internos, controles y una cultura más amplia en torno a la ciberseguridad durante años antes de la fecha límite del jueves.
Chris Gow, líder de políticas públicas de la UE de la empresa de tecnología empresarial Cisco, dijo que la naturaleza irregular de la implementación de NIS 2 también ha sido “exacerbada por la adaptación local de la ley”.
Esto, a su vez, está “creando discrepancias que pueden resultar difíciles de sortear, especialmente para organizaciones más pequeñas con recursos limitados”, dijo Gow a CNBC en comentarios enviados por correo electrónico.
Recomendó que, en lugar de sentirse “abrumadas” por las discrepancias en las adaptaciones locales de NIS 2, las organizaciones deberían “identificar un núcleo común de controles y procesos de seguridad que les resulte útil para cumplir y demostrar el cumplimiento a escala”.
¿Qué pasa si una empresa no cumple?
Para entidades “esenciales” como las empresas de transporte, finanzas y agua, el incumplimiento de NIS 2 puede dar lugar a multas de hasta 10 millones de euros (10,9 millones de dólares) o el 2% de los ingresos anuales globales, lo que resulte mayor.
Mientras tanto, empresas “importantes” -como empresas de alimentos, empresas químicas y servicios de gestión de residuos- se enfrentan a multas de hasta 7 millones de euros o el 1,4% de sus ingresos anuales globales por infracciones.
Las empresas también pueden enfrentar posibles suspensiones del servicio si no cumplen con NIS 2, así como una supervisión más estrecha.
“NIS 2 lo deja claro: grandes multas, posible suspensión del servicio y supervisión del cumplimiento se están utilizando como palancas para alentar a las organizaciones responsables de servicios críticos a prestar atención a las amenazas de ciberseguridad y a su respuesta a ellas”, Carl Leonard, estratega de ciberseguridad de EMEA en Proofpoint, dijo a CNBC.
“Se ha establecido una base en términos de gestión de riesgos y medidas de mitigación, incluido el manejo de incidentes, capacitación del personal, responsabilidad del liderazgo y muchas otras”, añadió Leonard.