Mantenerse al día con las regulaciones y directivas de ciberseguridad, especialmente si tu organización opera dentro de la Unión Europea (UE), puede resultar un verdadero desafío. Y la implementación de la NIS2 no es la excepción.
Si trabajas en este sector, posiblemente ya conozcas las razones que originaron esta legislación, sus objetivos y los riesgos a los que se enfrentan las organizaciones a medida que evoluciona la tecnología. Sin embargo, existe una disonancia entre la comprensión y la aplicación actual de dicha regulación. En concreto, ¿Cómo implementar la normativa NIS2? ¿Qué debemos tener en cuenta? ¿Por dónde comenzar?
Para responder estas preguntas, invitamos al episodio 80 de nuestro podcast, Ticket Volume, a tres especialistas en ciberseguridad: Morten Eeg Ejrnæs Nielsen (Asesor y Conferencista de temas de Seguridad de la Información y Cumplimiento), Wathagi Ndungu (Experto en Seguridad del Grupo ZEISS) y Gennady Kreukniet (CISO y Consultor Senior de Seguridad OT en CNV Cyber).
Además de proporcionar algunas reflexiones basadas en sus experiencias personales, los profesionales aconsejaron sobre los primeros pasos que deben dar las organizaciones para ejecutar la directiva así como los principales desafíos a los que se enfrentan en el campo de la ciberseguridad.
En este artículo vamos a repasar los aspectos más destacados de la grabación.
Entremos en tema.
|
¿Qué es la NIS2? Antecedentes y contexto
NIS es la sigla que corresponde a Network and Information Systems (Sistemas de Redes e Información). Y el 2 significa que se trata de una segunda versión de la directiva original que fue revisada.
¿Qué entendemos por normativa? En el contexto del Parlamento Europeo, constituye un acto legislativo que establece metas u objetivos específicos que todos los Estados miembros deben alcanzar en un plazo determinado.
En este caso concreto, la normativa NIS2 se aprobó para lograr un alto nivel común de ciberseguridad en la región, cuya fecha límite de aplicación es octubre de 2024. Esto supone un enorme reto tanto para los gobiernos, que deben aprobar leyes específicas; y para las organizaciones clasificadas como esenciales, porque tienen que adaptarse a la nueva directiva.
Para facilitar la cuestión, convocamos a tres especialistas en el tema para comprender cómo implementar la normativa NIS2, qué opinan sobre la fecha límite, qué países lideran la iniciativa y qué hacer para conseguir dicho objetivo.
¿Qué es la Directiva NIS2, la normativa sobre ciberseguridad de la UE?
NIS2: ¿Deberías entrar en pánico?
Como mencionamos antes, la implementación de la NIS2 se está convirtiendo en una realidad (concretamente así lo será el próximo octubre). Entonces, ¿deberías entrar en pánico ante la cercanía de la fecha? ¿Estás suficientemente preparado?
A estos interrogantes se enfrentaron en el podcast Nielsen, Ndungu y Kreukniet, quienes compartieron sus impresiones iniciales sobre la directiva y debatieron acerca de la forma en que los países la están incorporando a su estrategia de Gestión del Cumplimiento.
Para Ndungu, el sentimiento predominante en el ambiente de IT no es de ansiedad, sino más bien de optimismo. La directiva original presentaba muchas buenas intenciones, pero se quedaba corta en cuanto al alcance y mostraba una aplicación incoherente. La NIS2 no sólo corrige estos problemas, sino que estaría estableciendo un estándar mundial para la ciberseguridad, según el experto.
No obstante, la implementación de la normativa sigue planteando algunos inconvenientes, sobre todo a medida que nos acercamos a su fecha límite, ya que concretamente requiere esfuerzos de colaboración tanto de los Estados miembros como de las organizaciones, según manifestó Kreukniet, quien también hizo hincapié en el tiempo que demoran los países en traducir la directiva en leyes y, del mismo modo, las empresas requieren un período para su adaptación.
Por su parte, Nielsen se mostró optimista sobre la posibilidad de lograr una aplicación exitosa de la NIS2, ya que considera que muchas de sus directrices ya deberían formar parte de la estrategia de una organización; al igual que con algunas de sus nuevas ideas, especialmente respecto a la responsabilidad que recae en la dirección.
|
"Aquello que me gusta de la directiva es que la responsabilidad recae explícitamente en la alta dirección, remarcando que son ellos quienes tienen que cumplir ciertos requisitos. Necesitan conocimientos para desempeñar estas funciones, y también pueden ser sancionados. Además, hablar con la dirección sobre seguridad es difícil. Sin embargo, cuando aclaras que lo hacemos por su seguridad, implica que se interesen más." Morten Nielsen |
Países que van a la delantera con la NIS2
Algunos países europeos están más avanzados en sus respectivos procesos de aplicación, por lo que sirven de referencia para los que se encuentran a medio camino o se enfrentan a ciertas dificultades para cumplir con el plazo. Según Ndungu, Hungría y Croacia ya pusieron en marcha leyes para seguir la directiva.
Pero la cuestión de fondo es cómo implementar la normativa NIS2 de manera que implique un proceso organizado. Para los expertos, existen varias alternativas, aunque ninguna parece perfecta, por lo que hay que explorar las distintas posibilidades.
Al respecto, Kreukniet prefiere un “enfoque armonizado” porque prioriza la eficacia. Pero también mencionó el camino elegido por Alemania, que posee una normativa detallada e incluso un Excel con muchos requisitos a seguir. Bélgica es otro de los países que presentó recientemente una guía de aplicación.
Mayores desafíos para la implementación de la NIS2
Uno de los grandes retos para la implementación de la directiva de ciberseguridad es saber por dónde empezar. Para Nielsen es muy sencillo: simplemente hay que comenzar. No importa si la ley está en vigor o no, mientras tanto hay mucho para hacer como empresa o como profesional de IT con la documentación, las directivas y los marcos ya establecidos.
Del mismo modo, Ndungu dijo que ésta no es la primera normativa, es decir, no se parte desde cero. Y es muy importante no entrar en pánico.
|
"Si en algún momento abordaste el tema de la seguridad en tu organización, ya tienes algo, así que no estás empezando desde cero. También han habido otras normativas. Así que intenta usar aquello que ya posees y comienza desde ahí con pequeñas mejoras continuas." Wathagi Ndungu |
Kreukniet fue más allá y dio una especie de pauta para iniciar el proceso.
|
"En primer lugar, hay que gestionar los activos. Por lo tanto, debes saber qué tienes. Conoce tus sistemas, qué actualizaciones poseen y vuelca esa información en los sistemas adecuados que sean al menos más modernos que una hoja de Excel. Luego, en segundo lugar, examina que todos los accesos a ese sistema, incluso los remotos, sean conocidos y seguros. El tercer punto es si algo sale mal e involucra la recuperación de desastres y la continuidad de la actividad. Así que asegúrate que sabes qué tienes, cómo llegar a tus sistemas y cómo ser resistente y recuperarte si algo va mal." Gennady Kreukniet |
Además de coincidir con Kreukniet, Ndungu se basó en la frase “conoce aquello que tienes", pero aplicándola también a la cadena de suministro. Esto permite comprobar las vulnerabilidades y los procedimientos de seguridad, y qué ocurre cuando se produce un incidente. Es un buen punto de partida.
Reflexiones finales
El episodio 80 de Ticket Volume se centró en una simple cuestión: cómo implementar la normativa NIS2 y cumplir el plazo fijado por la UE de octubre. Para responder a estas preguntas, convocamos a tres expertos que no sólo aportaron información fundamental, sino que también compartieron sus propias experiencias a la hora de enfrentarse a los desafíos inherentes a la ciberseguridad.
También introdujeron un concepto fundamental en el debate: la necesidad de crear una cultura de la seguridad que se focalice en la educación, la concientización y la apropiación.
Para profundizar sobre estos temas, accede al episodio completo disponible en Apple Podcasts, Spotify, YouTube o tu plataforma de podcast favorita.