Los ciberataques y las consecuencias asociadas, como las interrupciones del negocio, han sido uno de los mayores riesgos para las empresas durante años, a nivel mundial.

Las empresas en Europa también necesitan cada vez más armarse contra amenazas de Internet. En Alemania, 9 de cada 10 empresas reportan ahora brechas de datos, intentos de sabotaje o ataques de espionaje. Como resultado, la economía alemana sufre daños por cientos de miles de millones de euros cada año. Las compañías de seguros ya no pueden asumir el riesgo solas. Los proveedores de seguros cibernéticos sufrieron pérdidas en este segmento por primera vez en 2022. Por tanto, los asegurados deben ser más responsables.

Para poder contrarrestar a los ciberdelincuentes, la Unión Europea adoptó una directiva para garantizar la seguridad de las redes e información —NIS, por sus siglas en inglés— en 2016. El objetivo de la Directiva (UE) 2016/1148 era construir la ciberresiliencia en toda la UE. Las amenazas a las redes y sistemas de información de los servicios esenciales deben contenerse. Esto pretendía garantizar la continuidad de los servicios, especialmente en sectores clave, para no perjudicar a la economía y a la sociedad.

Los primeros éxitos ya se han registrado. Las investigaciones han demostrado que se han logrado avances significativos en el fortalecimiento de la resiliencia cibernética. Sin embargo, también quedó claro que la aplicación de los requisitos de la Directiva (UE) 2016/1148 varía mucho entre los Estados miembros de la UE, lo que significa que el riesgo de un ataque es mayor para ciertos Estados miembros que para otros. Sin embargo, en el peor de los casos, esta situación puede tener consecuencias negativas para toda la Unión Europea. Por ello, se decidió hacer obligatorios los requisitos mínimos para todos los Estados miembros. Estos han sido ahora resumidos en una Directiva actualizada sobre medidas para un alto nivel común de ciberseguridad (NIS2 – (UE) 2022/2555 para abreviar) (Revista Oficial de la Unión Europea).

Como proveedor de un enfoque 365° en ciberseguridad, Perseus puede asesorar y apoyar activamente a pequeñas y medianas empresas, en particular en la implementación de la Directiva NIS 2 y las medidas que contiene.

Otros sectores están siendo responsabilizados

La Directiva NIS 2 amplía el ámbito de las empresas que deben cumplir con los requisitos mínimos establecidos. Además de sectores «esenciales», como También están implicados proveedores de energía o empresas sanitarias, sectores «importantes». Estos incluyen, por ejemplo: Gestión de residuos o proveedores de servicios postales.

Aquí tienes la lista completa:

Esencial:

• Energía (electricidad, petróleo, gas, calefacción, hidrógeno)
• Salud (Servicios Públicos, Laboratorios, I&D, Farmacéutica)
• Transporte (aéreo, ferroviario, acuático, por carretera)
• Bancos y mercados financieros
• Agua y aguas residuales
• Empresas digitales (incluidos proveedores de puntos de intercambio de Internet (IXP), proveedores de servicios DNS, registros de nombres TLD,
• Proveedores de servicios de centros de datos, proveedores de servicios de computación en la nube, proveedores de redes de distribución de contenidos, proveedores de servicios de confianza)
• Gestión de Servicios TIC, Espacio, Administración Pública

Importante:

• Correo y mensajería
• Gestión de residuos
• Química
• Nutrición
• Industria (técnica e ingeniería)
• Servicios digitales (mercados online, motores de búsqueda online, redes sociales)
• Investigación

Las pequeñas empresas también se ven desafiadas

Otra novedad es que no solo las corporaciones y grandes empresas tienen que demostrar conceptos de seguridad de redes y TI. Se introduce la llamada «regla del límite de tamaño». Como resultado, las empresas que emplean a más de 50 personas, tienen una facturación anual o balance de más de 10 millones de euros y operan en un sector crítico o importante tendrán que satisfacer las demandas (Infoguard.ch). Esto es un cambio respecto a las directrices anteriores.

La razón de esta ampliación es que las pequeñas y medianas empresas representan una parte significativa de la economía en todos los Estados miembros de la UE. Para empeorar las cosas, estas empresas en particular están luchando por adaptarse a un mundo más conectado y cada vez más digitalizado. Desarrollos recientes, como la pandemia de Covid-19 y el consiguiente cambio al teletrabajo, así como el aumento del uso de servicios en línea, han agravado aún más la situación.

La baja conciencia cibernética, la falta de seguridad informática y los altos costes de las soluciones de ciberseguridad son solo algunos de los retos a los que se enfrentan las pequeñas y medianas empresas.

Descuidar, retrasar o incluso ignorar estos problemas ya no es una opción. La Directiva NIS2 debe ser implementada por los Estados miembros antes del 17 de octubre de 2024. La Comisión deberá entonces revisar el funcionamiento de la Directiva a intervalos regulares, por primera vez antes del 17.10.2027.

NIS 2 pide medidas concretas para la ciberseguridad

Para implementar los requisitos mínimos requeridos, la UE especifica un catálogo de medidas que las empresas deben seguir y que son supervisadas por las autoridades nacionales. Estas medidas están definidas en el Artículo 21 del NSI 2. El objetivo principal aquí es reducir los riesgos para la seguridad informática a largo plazo y mantener el impacto lo más mínimo posible. La implementación y proporcionalidad de las medidas dependen de ciertos parámetros de la organización: la exposición al riesgo de la empresa, el tamaño de la empresa y la probabilidad de que ocurra un incidente de seguridad, y, en última instancia, la gravedad de un incidente cibernético para la sociedad y la economía.

Aquí puedes encontrar un resumen de los contenidos más importantes:

• Conceptos de evaluación de riesgos, análisis de riesgos y seguridad de la información
• Gestión de crisis y manejo de incidentes de seguridad
• Garantizar las operaciones empresariales (gestión de copias de seguridad)
• Provisión de conceptos de seguridad de acceso
• Provisión de conceptos para la autenticación multifactor y la comunicación cifrada
• Medidas preventivas (por ejemplo, procedimientos básicos de higiene cibernética y formación en ciberseguridad, seguridad del personal)

Desafíos para las empresas afectadas

Según Handelsblatt , el fundador de Hisolution, Tino Kob, ve el primer desafío como el hecho de que muchas empresas ni siquiera saben que están afectadas por la Directiva NIS 2. Según su estimación, ahora se considerarán responsables otras 40.000 empresas.

Los expertos no ven ningún obstáculo importante para las grandes empresas y organizaciones que ya se vieron afectadas por la Directiva NIS de 2016. También consideran que las empresas ya habían abordado los problemas de seguridad informática y ciberseguridad mediante requisitos de debida diligencia antes de la adopción de la Directiva NIS 2. Lo que es diferente ahora es que esto debe demostrarse mediante procesos sistemáticamente configurados (Handelsblatt).

Los expertos de Perseus ven problemas en la integración de los requisitos mínimos, especialmente entre micro, pequeñas y medianas empresas. Por encima de todo, la falta de especialistas en TI puede llevar a la falta de órganos consultivos que apoyen el desarrollo e implementación de las medidas necesarias y dejar a estas empresas a su aire. Si muchos de los aspectos requeridos son nuevos o aún no relevantes en la organización, existe el riesgo de que estas empresas se vean desbordadas.

Otros obstáculos, como la falta de recursos financieros y humanos, también pueden dificultar la implementación de la Directiva NIS 2.

Perseus es el socio perfecto para las pymes

Y aquí es precisamente donde Perseus puede ayudar a las empresas. El portafolio de productos de ciberseguridad de Perseus incluye muchas de las medidas necesarias. Por ejemplo, la solución de prevención de Perseus puede ayudar a formar y concienciar a los empleados. Las directrices desarrolladas sobre temas como conceptos de seguridad de datos, gestión de autorizaciones, gestión de parches y trabajo móvil contribuyen a la implementación de los requisitos de higiene cibernética.

Con el Security Baseline Check, las empresas pueden comprobar el concepto básico de seguridad de forma estandarizada. El Diálogo sobre el Riesgo Cibernético ofrece análisis en profundidad.

Y Perseus también puede apoyar a empresas en el ámbito de la gestión de emergencias. Un plan de emergencia personalizable ofrece una visión general de todos los procesos y aplicaciones que deben observarse en una emergencia o que deben protegerse por separado contra un incidente. El plan también ayuda a reanudar las operaciones empresariales rápidamente, en caso de posible reclamación. En caso de emergencia cibernética, el equipo de emergencia de Perseus también ayuda a hacer frente a los daños. Aquí, el equipo está disponible para sus clientes las 24 horas y también asesora en casos de sospecha.