Desde Datos101, empresa española especialista en soluciones de seguridad de datos para compañías, destacan que “la NIS2 incluirá a todas las medianas y grandes empresas de los sectores críticos, pero también infraestructuras comunescomo centros de datos o laboratorios de investigación. Al igual que, como novedad, también incluye, a la Administración Pública y ámbitos como pueden ser la gestión de residuos, las industrias química, farmacéutica y alimentaria, la fabricación de maquinaria pesada, los servicios postales, vehículos…”. Para Santiago Arellano, Cyber Account Manager de Datos101, “la clave de NIS2 es que incluye detalles muy concretos en torno a la prevención, a la gestión de crisis, a la respuesta ante incidentes, las pruebas 'cyber' o la necesidad de usar cifrado”.
NOVEDADES EN EL ÁMBITO SANCIONADOR
Más allá de las ampliaciones en el alcance y mejora de la coordinación y la cooperación, la NIS2 muestra novedades relacionadas con el régimen sancionador. Esta nueva directiva habla de sanciones proporcionales y disuasorias. Sin embargo, será necesario esperar a la transposición de la ley para conocer de qué manera afectará. Cabe destacar que la NIS1 recogía ‘multas’ de entre 500.000 y 1.000.000 euros para las infracciones muy graves.
Santiago Arellano, Cyber Account Manager de Datos101, resaltan que “el efecto económico más inmediato de la NIS 2 no vendrá por las sanciones, sino por la necesidad de aplicar los nuevos requerimientos de ciberseguridad. Estos requerimientos se enfocarán en la gestión de riesgos y las empresas pasarán a ser responsables de la actuación de sus proveedores y suministradores”.
CÓMO ACTUAR EN CASO DE CIBERATAQUE
Los ciberataques siguen multiplicándose y alcanzando cada día cifras históricas. Según Datos101, los ataques ransomware en 2022 han crecido más de un 50% en comparación con las cifras registradas en 2021, mientras que estos expertos prevén que 2023 venga cargado de actividades maliciosas. Un escenario este que deja a las empresas en una situación más vulnerable.
La directiva NIS2 señala que todos los incidentes con un nivel de impacto ‘crítico’, ‘muy alto’ o ‘alto’ deberán ser notificados a la autoridad competente respectiva, a través del CSIRT de referencia. Según la norma, los operadores de servicios esenciales deberán realizar una primera notificación tan pronto como dispongan de información que lo hagan posible. Asimismo, se deberán hacer notificaciones intermedias y una notificación final del incidente tras su resolución.
Sobre las claves en materia de ciberseguridad, Santiago Arellano explica que “son la proactividad y la resiliencia, capacidades que se retroalimentan. La mejor manera de ser proactivos es realizando auditorías periódicas, evaluando y gestionando las vulnerabilidades de la infraestructura tecnológica, diseñando y cumpliendo un plan de seguridad, concienciando a los usuarios, protegiendo con soluciones de seguridad la red, la nube, los puestos de trabajo, los servidores…”. En cuanto a ser resilientes, Datos101 apunta que “las empresas deben contar con medidas que respalden sus datos como un backup, como un plan de disaster recovery, con un necesario plan de respuesta a incidentes de seguridad y con un recomendable ciberseguro, que limite al máximo el impacto de un ciberataque”.