Directiva NIS2: trasposición y próximos pasos

Este retraso en la trasposición significa que, aunque la directiva ya es vinculante, las empresas españolas aún no tienen un marco legislativo nacional claro que les permita adaptarse de manera concreta. No obstante, es fundamental que las organizaciones no esperen a la promulgación definitiva de la legislación para actuar. El mensaje de la NIS2 es claro: fortalecer la resiliencia cibernética de las infraestructuras críticas y los sectores esenciales a través de medidas proactivas. Las empresas pueden comenzar ya a prepararse para cumplir con los requisitos de la directiva, adaptando sus políticas de ciberseguridad a los estándares que ya están definidos a nivel europeo.

¿Somos los únicos en no trasponer?

Tal y como mencionábamos previamente, a pesar de que es casi una certeza que no llegaremos a trasponer a tiempo, no seremos el único país que se encuentre en esa situación. Hasta la fecha, solo 3 países – Bélgica, Croacia y Hungría – han publicado la trasposición, mientras que existe una gran mayoría de países en los que, o bien no existe borrador o anteproyecto publicado, como es el caso de España, Portugal, Irlanda, Francia y alguno más, o, aunque existe un borrador de ley publicado, no se ha oficializado su trasposición formalmente, como es el caso de Italia, Alemania o Finlandia.

No obstante, como se ha señalado, no disponer de trasposición no implica quedarse estático esperando la publicación de la ley sin realizar ningún movimiento. El regulador ha señalado en distintos foros públicos ciertas directrices o recomendaciones preliminares que pueden orientar a las organizaciones sobre los aspectos en los que deben empezar a concentrarse para adelantarse a la implementación de la ley. Estas recomendaciones se dirigen a 2 aspectos principales:

1. Importancia de adecuarse a las certificaciones o estándares de referencia en materia de ciberseguridad, como pueden ser la ISO 27001, el Marco de Ciberseguridad de la NIST o, particularmente para el caso español, el Esquema Nacional de Seguridad. Certificaciones de seguridad

Es probable que la mayoría de las organizaciones ya estén alineada, o en proceso de alinearse, con alguno de los estándares de ciberseguridad más reconocidos, como los mencionados anteriormente. Pero, si aún no lo ha hecho, no es necesaria la existencia de una ley para recomendar buscar alineamiento con alguno de estos estándares de manera que su empresa cuente con el desarrollo de algunos procesos claves en materia de seguridad y protección de la información. Si bien el cumplimiento de estos estándares no garantiza la inmunidad ante ataques, sí facilita la implementación de procedimientos y rutinas que minimizan los riesgos, y, en caso de sufrir un ataque, mejoran significativamente la capacidad de respuesta y recuperación operativa de forma más ágil y eficaz.

A continuación, presentamos una tabla con estándares de referencia que han adoptado los países que ya han formalizado la trasposición:

ㅤㅤ2. Potenciar vectores de ataque clave en los últimos años, como son los relativos a la gestión de incidentes o a la protección de la cadena de suministro. Desafortunadamente, no son pocos los casos en los que una empresa ha sido atacada a través de una vulnerabilidad o incidente sufrido por parte de un proveedor. Uno de los objetivos de esta Directiva y, con ello, de la futura ley, es la importancia no solo de proteger nuestra infraestructura y perímetro propio, si no también asegurarnos de que los terceros o proveedores relevantes también mantengan un nivel de seguridad y unas medidas de protección adecuadas.

¿Cómo se puede preparar una organización?

En este contexto, cabe preguntarse: ¿qué sucedería si en España se promulga una ley que nos obligue a elevar nuestro nivel de ciberseguridad? Precisamente es ahí donde radica la primera recomendación, ya que adecuarse (sin necesidad de certificarse) garantiza avanzar en el cumplimiento de los requisitos, de modo que no representará un esfuerzo o coste innecesario en términos de tiempo o recursos cuando la trasposición sea finalmente efectiva.

Dábamos ejemplos de dominios o vectores de seguridad donde poner el foco, pero una de las preguntas que nos puede surgir es ¿cuáles son los primeros pasos para tratar de abordar el cumplimiento de la Directiva y de su futura ley de transposición? Considerando los requisitos de la Directiva, los siguientes tres puntos son básicos si queremos que nuestra organización esté adecuada a la futura normativa:

1. Promover la sensibilización dentro de la organización. La adopción de la nueva NIS2 debe integrarse en la agenda estratégica y presupuestaria de las organizaciones obligadas a cumplirla. Dado el corto plazo hasta que la NIS2 sea aplicable, los requisitos necesarios para su cumplimiento deben estar entre las primeras preocupaciones de la dirección y demás áreas involucradas.
2. Identificar los principales riesgos. Evaluar la situación actual y focalizarse en los principales riesgos que afectan a nuestro sector o compañía permite mejorar el nivel de ciberseguridad, facilitando la corrección rápida de puntos débiles y elevando así nuestra capacidad de protección.
3. Establecer un modelo de gobierno. Garantizar una adecuada gobernanza y asignación de responsabilidades en la gestión de riesgos es fundamental. La ausencia de un responsable claramente asignado aumenta la probabilidad de que los riesgos no sean detectados o gestionados correctamente. Una correcta asignación de responsabilidades y gobernanza sobre los riesgos será fundamental para poder hacer frente de manera eficiente a las exigencias relacionadas con la detección y notificación de incidentes que establece la NIS2.

Con todo ello, para preparar una futura adecuación a la Directiva, es clave evaluar el nivel de preparación o Readiness respecto a la normativa para marcar las acciones a realizar en el futuro, asignar responsables para gestionar y coordinar dichas acciones, y fomentar una cultura de sensibilización de la seguridad a todos los niveles de la organización. Solo con una participación activa de todos los actores involucrados se logrará un cambio sostenible y efectivo.

En definitiva, aunque es probable que la trasposición no se materialice este octubre, no podemos obviar el hecho de que todos los pasos y acciones que se tomen ahora para mitigar riesgos en materia de seguridad, solo contribuirá a mejorar la preparación de nuestras organizaciones. Y es que los próximos meses serán cruciales, especialmente para aquellas organizaciones que, al pertenecer a sectores no contemplados en la directiva original, deberán ahora cumplir con los nuevos requisitos, lo que puede generar cierta incertidumbre respecto a los pasos a seguir.