Bruselas eleva los requisitos de ciberseguridad a las empresas con multas de hasta 10 millones

Bruselas pone más deberes a las empresas en materia de ciberseguridad. El próximo mes de octubre termina el período para transponer nueva normativa NIS2, una actualización de la Directiva de Seguridad de Redes y Sistemas de Información que elevará los controles en las empresas de más de 250 empleados, y en aquellas de cualquier tamaño que sean críticas o estratégicas, como compañías energéticas, financieras o de suministros, proveedores de servicios digitales o de salud y medios de comunicación.

La actualización de la directiva obligará a estas compañías a estar sujetas a auditorías y evaluaciones periódicas por parte de las autoridades, a mejorar la formación de los empleados y a comunicar, en un plazo de 24 a 72 horas, cualquier incidente de seguridad significativo. De no hacerlo se expondrán a sanciones que pueden rondar los 10 millones de euros o hasta el 2 % de su volumen de negocio anual a nivel mundial.

«La implementación de la norma NIS2 puede representar un desafío y requerir una inversión significativa», advierte a El Debate Miguel López, director general de Barracuda Networks, «pero también ofrece la oportunidad de mejorar la ciberseguridad y la confianza en las operaciones de la empresa». En este sentido, el experto considera que su aplicación «reducirá las posibilidades de sufrir un ataque y, en caso de producirse, el coste y el impacto probablemente será menor».

«Ningún sistema es infalible»

La nueva normativa aterriza después de que, en los últimos meses, se hayan conocido ciberataques y robos de datos a compañías como Santander, Telefónica, Iberdrola o la Dirección General de Tráfico (DGT). Los expertos coinciden en señalar un incremento de los ciberataques en los últimos años. Entre las causas, José Luis Díaz, director general de Advens Iberia destaca la democratización de herramientas de hacking muy sofisticadas y disponibles en la internet profunda o dark web. Pero también la proliferación de dispositivos conectados (incluso muchos modelos de neveras cuentan ya con conexión a internet) y el uso de servicios en la nube, además del teletrabajo. «Los ciberdelincuentes se especializan y sofistican de manera continua», afirma Díaz.

Entre las novedades que introducirá la nueva normativa, destacan, por ejemplo, la necesidad de implementar políticas de seguridad de la información y análisis y evaluaciones de riesgos; la puesta en marcha de planes de respuesta a incidentes y gestión de vulnerabilidades. También una mejora de la seguridad en los recursos humanos antes, durante y después de la contratación, y la formación del personal en materia de ciberseguridad, añade Marta Trabado, responsable de compliance en A3Sec. En cambio, el impacto para el usuario será, en principio, escaso, anticipa la experta.

Como mucho, añade por su parte Diego León Casas, CEO y fundador de Flameera, «podrían notar un uso más generalizado de doble factor de autenticación, la presencia de procesos de identificación más rigurosos para acceder a algunos sistemas, y en general una mayor transparencia y comunicación por parte de las empresas sobre las medidas de seguridad que están tomando y cómo se protegen sus datos». No obstante, el grueso de los cambios se producirán en las operaciones internas de las propias compañías, subraya el experto.

Aunque se han dado grandes pasos en los últimos años, la ciberseguridad es una de las grandes asignaturas pendientes de las empresas españolas, a juicio de los expertos consultados. De hecho, a día de hoy solo el 12 % de las compañías están preparadas para la nueva normativa, dos puntos menos que la media europea, según un estudio de /fsafe, la unidad de ciberseguridad de fibratel. «Muchas pequeñas y medianas empresas (Pymes) no están tan bien preparadas, por falta de recursos, presupuesto y concienciación. La implementación de NIS2 podría representar un desafío significativo para estas empresas», asegura Diego León Casas.

Ahora bien, ¿servirán las nuevas normas para poner freno a los ciberataques? «Ningún sistema de seguridad es infalible, pero NIS2 puede reducir significativamente el riesgo y el impacto de los ciberataques, aunque no garantizar que se eviten por completo», concluye Miguel López.