Oscar Wong | Momento | Getty Images
Las empresas podrían enfrentarse a fuertes multas o incluso suspensiones de servicios en la Unión Europea bajo las nuevas y estrictas regulaciones de ciberseguridad que entrarán en vigor el próximo mes.
La directiva de ciberseguridad NIS 2 de la UE entrará en vigor el 17 de octubre para los estados miembros, lo que significa que las empresas tendrán que asegurarse de que sus operaciones cumplen las obligaciones establecidas por la nueva ley.
Las normas imponen requisitos más estrictos a las empresas en relación con su estrategia interna de ciberresiliencia y sus prácticas internas.
CNBC repasa todo lo que necesita saber sobre NIS 2, desde lo que exige la ley hasta las posibles sanciones que las empresas podrían enfrentar por infringirla.
¿Qué es NIS 2?
La NIS 2, que significa Directiva sobre seguridad de las redes y la información 2, es una directiva de la UE que tiene como objetivo aumentar la seguridad de los sistemas y redes de TI en todo el bloque. Introducida en 2020, la ley sirve como actualización de una directiva anterior simplemente llamada NIS.
NIS 2 amplía el alcance de su predecesor para abordar desafíos y amenazas de ciberseguridad más recientes que han surgido a medida que los delincuentes han encontrado nuevas formas de piratear empresas y comprometer sus datos confidenciales.
La directiva se aplica a las organizaciones que operan dentro de la UE y brindan servicios esenciales a los consumidores, incluidos bancos, proveedores de energía, instituciones de atención médica, proveedores de Internet, empresas de transporte y procesadores de residuos.
Las principales áreas que abordará son la gestión de riesgos, la responsabilidad corporativa, las obligaciones de presentación de informes y la planificación de la continuidad del negocio en caso de una violación cibernética.
Geert van der Linden, vicepresidente ejecutivo de servicios globales de ciberseguridad de Capgemini, dijo a CNBC que NIS 2 ha establecido efectivamente una nueva base para las empresas sobre lo que es aceptable para proteger a los ciudadanos, mantener las operaciones y seguir siendo resilientes frente a los ciberataques.
«Los jueces considerarán que la NIS 2 es una norma global cuando sea aplicable», añadió Van der Linden. «Nuestros clientes, independientemente de si se consideran esenciales o importantes en la normativa, tienen que fijarse en esa base y asegurarse de que cumplen la normativa».
Al cumplir con este nivel de referencia, las empresas se protegerán eficazmente contra las reclamaciones, añadió Van der Linden. Lo comparó con contratar un seguro de hogar para proteger la casa de los ladrones.
«¿Adónde van los ladrones? Siempre a la casa menos protegida. Abren todas las puertas para ver por dónde pueden entrar», afirmó. Lo mismo está sucediendo con las empresas que buscan protegerse de los ciberataques, añadió Van der Linden.
En virtud de la NIS 2, las empresas también tendrán que examinar sus cadenas de suministro digitales para detectar ciberamenazas y vulnerabilidades. Hoy en día, las empresas utilizan distintos productos y herramientas todos los días, lo que ofrece a los delincuentes más vías potenciales de ataque.
Chris Gow, jefe del equipo de políticas públicas de Cisco para la UE, dijo a CNBC que se llevará a cabo un «ejercicio de mapeo» bajo NIS 2 en el que las empresas tendrán que escanear a sus proveedores de tecnología para evaluar cualquier riesgo potencial.
Las empresas también tendrán el «deber de cuidado» de informar y compartir información sobre vulnerabilidades cibernéticas y ataques con otras empresas bajo NIS 2, incluso si eso significa tener que admitir que han sido víctimas de una violación cibernética.
¿Qué pasa si una empresa no cumple?
Las empresas que no cumplan con la nueva ley podrían enfrentar multas masivas, junto con otras acciones punitivas.
Para las entidades consideradas esenciales, como las empresas de transporte, financieras y de agua, el incumplimiento de la NIS 2 puede dar lugar a una multa de hasta 10 millones de euros (11,1 millones de dólares) o el 2% de los ingresos anuales globales, lo que resulte mayor.
Mientras tanto, las empresas consideradas esenciales (como las de alimentación, las químicas y las de gestión de residuos) se enfrentan a multas de hasta 7 millones de euros o el 1,4% de sus ingresos anuales globales por incumplimiento.
Las empresas también pueden enfrentarse a posibles suspensiones de servicios si no cumplen con la NIS 2, así como a una supervisión más estrecha para ver si han cumplido con la normativa.
Si una empresa es víctima de una vulneración de datos cibernéticos, tendrá 24 horas para enviar una notificación de alerta temprana a las autoridades. Este plazo es más estricto que el de 72 horas que tienen las empresas para notificar a las autoridades sobre una vulneración de datos en virtud del RGPD (Reglamento General de Protección de Datos), una ley independiente sobre privacidad de datos en la UE.
«Prepararse para NIS 2 no es una carrera para ver qué se puede lograr, sino una carrera en la que las organizaciones más fuertes superan los límites y aprovechan este esfuerzo para obtener una ventaja competitiva», dijo Carl Leonard, estratega de ciberseguridad para EMEA de Proofpoint, a CNBC.
«Preveo que las organizaciones recibirán un mayor apoyo mediante esfuerzos coordinados a nivel de la Unión Europea», afirmó Leonard. «Esto incluirá información compartida sobre amenazas, un nivel más alto de ciberseguridad común y una mentalidad de ‘estamos juntos en esto'».
¿Están preparadas las empresas?
Las empresas han estado compitiendo para poner en forma sus procesos y controles internos, así como una cultura más amplia en torno a la ciberseguridad, antes de la fecha límite del 17 de octubre.
Gow de Cisco dijo que incluso sin la amenaza de una nueva regulación inminente, las empresas han estado trabajando arduamente para cambiar su cultura internamente para asegurarse de que toman en serio la amenaza de violaciones cibernéticas e incidentes de interrupciones.
«Incluso al margen de lo que sucede en el aspecto regulatorio, vemos que los informes están siendo realizados por el CISO [chief information security officer] «Todo el nivel, hasta la junta directiva y la gerencia».
Agregó, sin embargo, que el NIS 2 está provocando que las empresas actúen más rápidamente para adecuar sus controles y prácticas cibernéticas a las nuevas reglas.
«Definitivamente tiene un impacto», dijo. «Lo estoy viendo con mis propios ojos. La gente de dentro del país está planteando preguntas de ventas y de la gerencia, preguntando ‘¿Cómo nos afecta esto?'». Agregó que hay «preparaciones que hacer ahora mismo» para que las empresas se aseguren de cumplir con los requisitos de la NIS 2.
Aun así, incluso aunque la ciberseguridad se ha convertido en un tema mucho más destacado en las salas de juntas, esto no ha impedido que se produzcan ciberataques.
A principios de este año, un ataque de ransomware contra Synnovis, un proveedor privado de atención médica en el Reino Unido, interrumpió más de 3000 consultas en hospitales y médicos de cabecera. El atacante, un grupo de piratas informáticos con sede en Rusia llamado Qilin, exigió el pago de un rescate de 40 millones de libras esterlinas.
Gow dijo que sería un error asumir que una nueva regulación puede prevenir que incidentes similares ocurran en el futuro, pero agregó que NIS 2 ha ayudado a «crear cierto escrutinio y concentrar recursos en demostrar cómo se están elevando los niveles generales de seguridad».
