BLOG

NIS2: Un nuevo y claro enfoque en la ciberseguridad

Miniatura de Bart Salaets
Bart Salaets
Publicado el 29 de septiembre de 2023

La nueva directiva de la UE significa que muchas más empresas necesitan mayor seguridad, visibilidad y control

Al imponer nuevos requisitos estrictos, la renovada Directiva sobre seguridad de las redes y de la información (NIS) exigirá que muchas más empresas de la UE se tomen en serio la ciberseguridad. 

En menos de un año, NIS2 (como se conoce a la nueva directiva) convertirá en un requisito legal para una amplia gama de organizaciones asegurar completamente sus sistemas internos y garantizar que las interfaces externas no sean vulnerables a ataques y robo de datos. 

Se pone gran énfasis en la gestión de riesgos, la elaboración de informes y la recuperación, y se prevé que las multas por incumplimiento alcancen los 10 millones de euros o el 2 % de los ingresos globales anuales (lo que sea mayor). 

Pero esas multas podrían ser la punta de un iceberg financiero mucho mayor.

Dado que el NIS2 se aplica a un grupo de empresas mucho más amplio que su predecesor, su impacto se extenderá a todas las cadenas de suministro. La ciberseguridad se convertirá en una prioridad en los procesos de adquisiciones y podría determinar qué empresas obtendrán nuevos contratos.

Lamentablemente, la mayoría de las organizaciones no cuentan con las habilidades internas necesarias para gestionar los numerosos requisitos de la nueva directiva, en particular porque sus sistemas abarcan cada vez más múltiples entornos de nube y un gran número de personal continúa trabajando desde casa. 

NIS2 hace que la visibilidad total sea imprescindible

El NIS2 cubrirá cualquier empresa que tenga más de 50 empleados y una facturación anual que supere los 10 millones de euros y se aplicará a las telecomunicaciones, la alimentación, la gestión de residuos, las plataformas digitales, las agencias públicas y los servicios de entrega. También tendrá un impacto importante en los servicios esenciales cubiertos por el NIS original, como la energía, la atención sanitaria, la banca y el transporte.

A medida que los estados miembros de la UE implementen NIS2, las empresas afectadas deberán asegurarse de que todas las interfaces externas estén protegidas, incluidas las aplicações utilizadas para interactuar con clientes y proveedores. 

Si se produce una infracción, deberán presentar un informe de alerta temprana dentro de las 24 horas siguientes a tener conocimiento del incidente, seguido de una evaluación inicial dentro de las 72 horas y un informe final dentro de un mes. 

Por lo tanto, será esencial que las empresas tengan visibilidad completa de lo que está sucediendo en sus operaciones digitales y sus interfaces digitales con clientes, socios y proveedores. 

En un mundo ideal, no debería ser necesaria una normativa estricta: la mayoría de las interacciones comerciales se realizan ahora en línea, por lo que los líderes empresariales ya deberían estar exigiendo ese tipo de visibilidad. 

Sin embargo, muchas empresas pequeñas que caen dentro del ámbito de aplicación de la nueva directiva no necesariamente tendrán un centro de operaciones de seguridad ni las herramientas de informes relacionadas necesarias para cumplir. Es más, es poco probable que tengan las habilidades y los recursos necesarios para construir y diseñar esas herramientas internamente.   

No hace falta decir que existe presión para implementar mecanismos fáciles de cumplir con las obligaciones del NIS2. Y hacerlo sin afectar negativamente la experiencia de sus clientes y socios. 

En particular, necesitarán una consola centralizada a través de la cual puedan gestionar su cartera completa de aplicação . Las propuestas de seguridad de aplicação basadas en la nube y de distribución de aplicação , como F5 Distributed Cloud Services , pueden satisfacer esa necesidad.

Para las organizaciones más grandes tampoco es un paseo por el parque. Uno de los mayores desafíos que presenta la intensificación de la atención regulatoria sobre la seguridad es la complejidad adicional que supone proteger y monitorear una infraestructura digital que cada vez más abarca múltiples nubes y centros de datos internos.

Hoy en día, muchas personas ejecutan aplicações y sus microservicios constituyentes en varios entornos. Si bien el frontend de una aplicación puede ejecutarse en una nube pública, el backend puede estar en un centro de datos interno. Al mismo tiempo, los empleados acceden cada vez más a sistemas y aplicaciones desde muchos lugares diferentes, como sus hogares y espacios de trabajo compartido.  

Para proteger este panorama digital cada vez más complejo de una manera compatible con NIS2, muchas empresas necesitarán un servicio administrado equipado para abarcar múltiples entornos diferentes de nube, computación y redes. Nuevamente, en F5, tenemos esa experiencia. 

Aunque el tiempo avanza cada vez más fuerte, aún hay tiempo para actuar.

Los estados miembros de la UE deben incorporar la nueva directiva a sus leyes nacionales antes del 18 de octubre de 2024, por lo que la carrera ha comenzado para que todas las organizaciones afectadas garanticen que sus capacidades de seguridad y monitoreo sean lo suficientemente sólidas para evitar las multas y, lo que es más importante, el daño a la reputación asociado con los fallos de cumplimiento. 

Afortunadamente, la tecnología que necesitan para prosperar en este nuevo entorno regulatorio está lista para funcionar. 

Profundizaremos en los detalles en una futura publicación del blog que explorará cómo F5 ya está ayudando a los clientes a cumplir con NIS2. ¡Manténganse al tanto!