En un artículo de hace poco más de un año, comentábamos que estaba a la puerta de la esquina la normativa NIS2 (Network and Information Security Directive 2), normativa, que sustituía a la Directiva NIS original de 2016, ampliaba su alcance, endurecía los requisitos y establecía un marco más robusto para proteger las infraestructuras críticas y los servicios esenciales en toda Europa. Venía acompañada de un nuevo marco normativo (Reglamento Dora, la Estrategia de Ciberseguridad Europea, la Directiva CER, el Reglamento de Ciberseguridad, el Reglamento para Ciberresilencia o la Ley de IA) en el panorama actual donde la ciberseguridad ha tomado un punto de gran relevancia. Todo ello acompañado de un marco de sanciones más severo,
A fecha actual hemos comprobado, que en este último año, este tsunami normativo se ha traducido en un proceso de concienciación en la que muchas empresas se han sumado o como mínimo están tomando conciencia de su relevancia. Cada normativa incide en ciertos ámbitos concretos, profundiza unos u otros, pero hay grandes coincidencias y sinergias en la mayoría.
En el caso concreto de NIS2, aparte de grandes corporaciones, donde ya se había estado trabajando desde ya antes de la entrada de la normativa con diferentes borradores de la misma, en este último año muchas entidades han estado trabajando en la adecuación y en trabajos gap para identificar proyectos e iniciativas de alineación con la normativa. La realidad ha sacado a flote los puntos que ya se dejaban entrever, y una conclusión clara que hay aun bastante trabajo a llevar a cabo.
Hay diferentes ámbitos pero viendo los resultados, importancia y sinergias con otras normativas, destacar como conclusión los siguientes aspectos más relevantes del cumplimiento de NIS2:
La Directiva NIS2, establece un punto de inflexión en la ciberseguridad europea. Su enfoque más estricto, su ampliación de alcance y su énfasis en la responsabilidad directiva obligan a las organizaciones a tomarse la ciberseguridad como una prioridad estratégica. Aunque su implementación aún está en curso en muchos países, las empresas deben actuar ya para evitar sanciones y, sobre todo, para proteger sus activos digitales en un entorno cada vez más complejo, y donde su actividad depende cada vez más de los entornos y procesos tecnológicos.
A día de hoy, hemos de enfocar a conseguir estos objetivos, que no es poco, y orientarnos a los requerimientos relacionados con las pruebas de resiliencia operativa digital, establecer los canales, mecanismos y dinámicas de intercambio de información y estar en disposición de demostrar cumplimiento con los requisitos de DORA mediante auditorías y revisiones periódicas.
Albert Flores, Gerente senior de Risk Advisory Services