Los ciberataques y sus consecuencias, como la interrupción de la actividad empresarial, llevan años figurando entre los mayores riesgos para las empresas de todo el mundo.
Las empresas europeas también tienen que armarse cada vez más contra las amenazas de Internet. En Alemania, 9 de cada 10 empresas denuncian actualmente violaciones de datos, intentos de sabotaje o ataques de espionaje. La economía alemana sufre cada año pérdidas de miles de millones de euros. Las compañías de seguros ya no pueden soportar solas el riesgo. Los proveedores de ciberseguros sufrieron pérdidas en este segmento por primera vez en 2022. Por lo tanto, los asegurados deben ser más responsables.
Para hacer frente a los ciberdelincuentes, la Unión Europea adoptó en 2016 una Directiva sobre seguridad de las redes y de la información. El objetivo de esta Directiva (UE) 2016/1148 era aumentar la ciberresiliencia en toda la UE. Debían mitigarse las amenazas a los sistemas de redes e información de los servicios esenciales. Se trataba de garantizar la continuidad de los servicios -especialmente en sectores clave- para no perjudicar a la economía y la sociedad.
Ya se han registrado los primeros éxitos. La investigación ha puesto de manifiesto que se han logrado avances significativos en el refuerzo de la ciberresiliencia. Sin embargo, también ha quedado claro que la aplicación de los requisitos de la Directiva (UE) 2016/1148 varía enormemente entre los Estados miembros de la UE, lo que en última instancia se traduce en que el riesgo de un ataque es mayor para algunos Estados miembros que para otros. Sin embargo, este estado de cosas puede, en el peor de los casos, tener consecuencias negativas para toda la Unión Europea. Por ello, se decidió establecer unos requisitos mínimos obligatorios para todos los Estados miembros. Éstos se han resumido ahora en una Directiva actualizada sobre medidas para un nivel común elevado de ciberseguridad (breve NIS2 – (UE) 2022/2555) (Diario Oficial de la Unión Europea).
Perseus, como proveedor de un enfoque de ciberseguridad de 365° grados, puede asesorar y apoyar activamente a las pequeñas y medianas empresas, en particular en la aplicación de la Directiva NIS 2 y las medidas que contiene.
Se tendrán en cuenta otros sectores
La Directiva NIS 2 amplía el campo de empresas que deben cumplir los requisitos mínimos especificados. Además de los sectores «esenciales», como los proveedores de energía o las empresas sanitarias, también se incluyen sectores «importantes». Entre ellos figuran, por ejemplo, la gestión de residuos o los proveedores de servicios postales.
Aquí está la lista completa:
Esencial:
- Energía (electricidad, petróleo, gas, calor, hidrógeno)
- Salud (servicios públicos, laboratorios, I+D, farmacia)
- Transporte (aéreo, ferroviario, fluvial, por carretera)
- Bancos y mercados financieros
- Agua y aguas residuales
- Empresas digitales (entre ellas, proveedores de puntos de intercambio de Internet (IXP), proveedores de servicios DNS, registros de nombres TLD,
- Proveedores de servicios de centros de datos, proveedores de servicios de computación en nube, proveedores de redes de distribución de contenidos, proveedores de servicios de confianza).
- Gestión de servicios TIC, espacio, administración pública
Importante:
- Correo y mensajería
- Gestión de residuos
- Química
- Alimentación
- Industria (tecnología e ingeniería)
- Servicios digitales (mercados en línea, motores de búsqueda en línea, redes sociales)
- Investigación
Las pequeñas empresas también se enfrentan al reto
Otro aspecto nuevo es que no sólo las corporaciones y las grandes empresas tienen que presentar conceptos de seguridad de redes y TI. Se ha introducido la llamada «regla del tamaño máximo». Esto significa que las empresas que emplean a más de 50 personas, tienen un volumen de negocios anual o un balance anual de más de 10 millones de euros, y operan en un sector crítico o importante, ahora también tendrán que cumplir con los requisitos (Infoguard.ch). Esto representa un cambio con respecto a las directrices anteriores.
La razón de esta expansión es que las pequeñas y medianas empresas representan una parte importante de la economía en todos los Estados miembros de la UE. A ello se suma el hecho de que son precisamente estas empresas las que están luchando por adaptarse a un mundo más interconectado y cada vez más digitalizado. Acontecimientos recientes, como la pandemia del Covid 19, y el consiguiente traslado del trabajo al hogar, así como el uso más frecuente de servicios en internet, han agravado aún más la situación.
La escasa conciencia cibernética, la falta de seguridad informática y los elevados costes de las soluciones de ciberseguridad son sólo algunos de los retos a los que se enfrentan las pequeñas y medianas empresas.
Descuidar, retrasar o incluso ignorar estos problemas ya no es una opción. Los Estados miembros deben aplicar la Directiva NIS2 antes del 17 de octubre de 2024. Posteriormente, la Comisión deberá revisar el funcionamiento de la Directiva a intervalos regulares, por primera vez el 17 de octubre de 2027.
La NIS 2 exige medidas concretas de ciberseguridad
Para aplicar los requisitos mínimos exigidos, la UE ofrece un catálogo de medidas que las empresas deben seguir y que son supervisadas por las autoridades nacionales. Estas medidas se definen en el artículo 21 de la NIS 2. El objetivo es, ante todo, reducir de forma duradera los riesgos para la seguridad informática y minimizar al máximo sus efectos. La aplicación y proporcionalidad de las medidas depende de determinados parámetros de la organización: La exposición al riesgo de la empresa, el tamaño de la empresa y la probabilidad de que se produzca un incidente de seguridad y, en última instancia, la gravedad que tendría para la sociedad y la economía un incidente cibernético.
A continuación se resumen los contenidos más importantes:
- Conceptos de evaluación de riesgos, análisis de riesgos y seguridad de la información
- Gestión de crisis y gestión de incidentes de seguridad
- Seguridad de las operaciones empresariales (gestión de copias de seguridad)
- Conceptos de seguridad de acceso
- Aportación de conceptos para la autenticación multifactor y la comunicación cifrada
- Medidas preventivas (por ejemplo, procedimientos básicos de ciberhigiene y formación en ciberseguridad, seguridad del personal)
Retos para las empresas afectadas
Según Handelsblatt, el fundador de Hisolution, Tino Kob, considera que el primer reto es el hecho de que muchas empresas ni siquiera saben que les afecta la directiva NIS 2. Según sus cálculos, otras 40.000 empresas serán ahora responsables. Según sus cálculos, ahora serán responsables 40.000 empresas más.
Los expertos no ven grandes escollos para las grandes empresas y organizaciones que ya se vieron afectadas por la directiva NIS de 2016. También creen que las empresas ya habían abordado las cuestiones de seguridad informática y ciberseguridad a través de los requisitos de diligencia debida antes de la adopción de la Directiva NIS 2. Lo que ahora es diferente es que esto debe demostrarse mediante procesos sistemáticamente establecidos (Handelsblatt).
Los expertos de Perseus ven problemas en la integración de los requisitos mínimos, especialmente en las microempresas y las pequeñas y medianas empresas. Sobre todo, la falta de especialistas en TI puede dar lugar a una falta de órganos consultivos que apoyen el desarrollo y la aplicación de las medidas requeridas, dejando a estas empresas solas. Si muchos de los aspectos requeridos son nuevos o no tenían relevancia previa en la organización, existe el riesgo de que estas empresas se vean desbordadas.
Otros obstáculos, como la falta de recursos financieros y humanos, también pueden afectar a la aplicación de la directiva NIS-2.
Perseus es el socio perfecto para las PYME
Y aquí es exactamente donde Perseus puede ayudar a las empresas. La cartera de productos de ciberseguridad de Perseus incluye muchas de las medidas necesarias. Por ejemplo, la solución de prevención de Perseus puede ayudar con la formación y concienciación de los empleados. Las directrices elaboradas sobre temas como conceptos de seguridad de datos, gestión de autorizaciones, gestión de parches y trabajo móvil contribuyen a la aplicación de los requisitos de ciberhigiene.
Con el Security Baseline Check, las empresas pueden comprobar el concepto básico de seguridad de forma estandarizada. El Diálogo sobre Riesgos Cibernéticos proporciona información más detallada.
Perseus también puede ayudar a las empresas en el ámbito de la gestión de emergencias. Un plan de emergencia personalizable proporciona una visión general de todos los procesos y aplicaciones que deben respetarse en caso de emergencia o que deben protegerse por separado antes de un incidente. El plan también ayuda a que las operaciones de la empresa vuelvan a funcionar rápidamente en caso de siniestro. En caso de ciberemergencia, el equipo de emergencia de Perseus también ayuda a hacer frente a los daños. Aquí, el equipo está a disposición de sus clientes las 24 horas del día y también ofrece asesoramiento en caso de sospecha.