La Directiva sobre Seguridad de las Redes y de la Información (NIS-2) es posiblemente uno de los textos normativos más importantes en materia de ciberseguridad que ha entrado en vigor en Europa. Los 27 Estados miembros de la UE tienen hasta el 17 de octubre de 2024 para adoptar y publicar las normas necesarias para cumplir la NIS-2, que impone mayores requisitos para reforzar las condiciones de seguridad e informar con mayor regularidad y plazos más cortos sobre los ciberataques.
El ámbito de aplicación de la directiva NIS-2 se ha ampliado drásticamente: en algunos países, el número de entidades cubiertas crecerá hasta aproximadamente 30.000, en comparación con la NIS1, que anteriormente sólo afectaba a 3.000. Además, las implicaciones para las organizaciones que no cumplan las normas son mucho mayores: multas severas si no se respetan los plazos y responsabilidad personal para los directivos que representen a esas empresas.
Pero ahora que las empresas se preparan para esta nueva era de regulación, cabe preguntarse: ¿qué efecto va a tener la NIS-2 en la innovación en ciberseguridad en todo el continente? ¿Podríamos asistir a un aumento de la inversión en ciberseguridad que desencadenaría una nueva oleada de soluciones? O, por el contrario, ¿podría la intensidad de la normativa ahogar la innovación y obligar a las empresas continuamente a actualizarse?
Necesidad de una mayor regulación
La necesidad de medidas de ciberseguridad más estrictas es innegable. Según un reciente estudio de IDC realizado por Palo Alto Network, solo el 15% y el 19% de los CISO españoles ponen a prueba regularmente sus planes de recuperación y respuesta ante incidentes.
Esto llega en un momento en que el panorama de las amenazas evoluciona a gran velocidad, especialmente como resultado de la IA generativa (GenIA). Por ejemplo, la Unit 42 de Palo Alto Networks observó recientemente un caso en el que los actores maliciosos extrajeron 2,5 terabytes de datos en solo 14 horas, lo que demuestra un nivel de eficiencia nunca visto. A la luz de estas estadísticas, la Comisión Europea espera que su reglamento histórico dé lugar a una nueva era de ciberresiliencia para que esta se convierta en un pilar fundamental de la cultura organizativa y no en una idea de última hora.
¿Un catalizador a favor o en contra de la innovación?
Sin embargo, los críticos han argumentado que la directiva NIS-2 puede ir demasiado lejos, hacia una “sobrerregulación”, ya que algunas de las entidades incluidas en la directiva no se consideran “críticas». Las estrictas estipulaciones reglamentarias y la posibilidad de sanciones por incumplimiento podrían empujar a las organizaciones a ser cautelosas con su enfoque de ciberseguridad, que puede que ya no sea adecuado para su propósito en un mundo en el que el panorama de las amenazas evoluciona cada vez más rápido y es más complejo.
Por ejemplo, las empresas pueden optar por utilizar tecnologías heredadas ampliamente aceptadas a pesar de que los sistemas de detección más recientes, basados en IA, podrían ofrecer una identificación de amenazas más precisa y adaptada a las necesidades de la empresa. Sin embargo, adoptar un enfoque más innovador permite a las organizaciones no sólo protegerse hoy, sino también preparar sus operaciones para el futuro. Afortunadamente, la directiva NIS-2 insta a las entidades importantes y esenciales a “perseguir la integración de tecnologías de mejora de la ciberseguridad, tales como la inteligencia artificial o los sistemas de machine learning, para mejorar sus capacidades y la seguridad de los sistemas de red y de información”.
Medidas de riesgo a priori o a posteriori
Donald David Stewart Ferguson, académico, sostiene en un artículo reciente que la limitada eficacia de la directiva NIS-2 se debe principalmente al estrecho alcance de las medidas de gestión de riesgos de ciberseguridad, incluida la falta de medidas específicas centradas en la fase de reconocimiento de un ciberataque. Cabe esperar que la Comisión Europea proporcione más orientaciones más adelante durante su aplicación en 2024, especialmente sobre las medidas preventivas que deben adoptar las entidades para identificar comportamientos maliciosos en sus redes antes de que se ejecute un incidente.
Las tecnologías que aprovechan el machine learning y la IA pueden ayudar a implementar medidas de prevención y, por lo tanto, deben fomentarse para ser implementadas por las leyes de implementación de NIS-2 de los Estados miembros de la UE.
Además, el énfasis de la NIS-2 en la uniformidad de las normas de ciberseguridad y las obligaciones de información en todos los Estados miembros de la UE puede desalentar la adaptación y la innovación en las prácticas de ciberseguridad adaptadas a los requisitos y retos específicos de cada organización. Por ejemplo, las necesidades de ciberseguridad del sector de los servicios financieros son muy distintas de las de los servicios postales, ambos incluidos en el ámbito de aplicación de la NIS2.
Los servicios financieros se enfrentan a una mayor complejidad y gravedad de las amenazas que afectan directamente a la estabilidad financiera y exigen mayores niveles de inversión en seguridad y un estricto cumplimiento de la normativa. Es posible que los servicios postales no gestionen transacciones financieras a la misma escala, pero aun así requieren medidas de seguridad sólidas para proteger los datos personales y garantizar la continuidad operativa de sus servicios. Por supuesto, ya existen leyes sectoriales específicas en torno a la ciberseguridad para garantizar la seguridad de estos sectores, pero para que las empresas logren una verdadera ciberseguridad holística, deben adoptar un enfoque adaptado.
Como sabemos, las normativas actuales en materia de ciberseguridad se están quedando cortas a la hora de abordar los retos críticos de seguridad. Un enfoque más riguroso a nivel universal, como el propuesto por NIS-2, podría aportar una solución. Su marco bien definido contribuirá a infundir una mayor certeza en el mercado, proporcionando a las organizaciones una hoja de ruta clara para su cumplimiento. Este enfoque ofrece a NIS-2 la posibilidad de fomentar la inversión en el desarrollo de soluciones innovadoras que cumplan estas normas y se adapten a entidades individuales.
Impulsar la innovación mediante la regulación
NIS2 puede impulsar la innovación en el sector de la ciberseguridad de varias maneras. En primer lugar, el mayor alcance de NIS-2, que abarca una gama más amplia de entidades y sectores, generará un mercado significativamente mayor de soluciones y servicios de ciberseguridad. Este aumento de la demanda podría actuar como un potente catalizador de la transformación, ya que las empresas se apresuran a desarrollar soluciones que respondan a unas necesidades en constante evolución.
Una gran transformación sería la adopción de un enfoque que fomente la integración y consolidación de tecnologías y fuentes de datos, en lugar de aplicar parches a múltiples tecnologías aisladas que no son capaces de generar una imagen completa de la situación en todos los puntos finales, redes y entornos en la nube.
De este modo, las empresas tienen una mayor visibilidad de las amenazas, pueden detectarlas y tomar medidas más rápidamente, lo que en última instancia reduce el riesgo potencial que una ciberamenaza puede tener en el negocio, ya sea de reputación o financiero. Este enfoque también permite a las empresas ampliar fácilmente sus operaciones de ciberseguridad y automatizar muchas tareas que a menudo se realizan manualmente, lo que les ayudaría a garantizar el cumplimiento de NIS2 en toda la organización. Además, las empresas serán mucho más eficaces a la hora de cumplir los plazos más breves de presentación de informes previstos en NIS-2 gracias a la visibilidad desde un único punto de vista y a las alertas en tiempo real.
Satisfacer los requisitos de cumplimiento de NIS-2 también requerirá la adopción de nuevas tecnologías y prácticas de ciberseguridad, como capacidades avanzadas de detección de amenazas y respuesta a incidentes. Por ejemplo, las plataformas mejoradas de respuesta a incidentes que integran la automatización y la IA pueden reducir significativamente el tiempo y los recursos necesarios para responder a incidentes de seguridad y garantizar que las acciones sean coherentes y estén alineadas con las mejores prácticas. La IA también puede proporcionar servicios de seguridad avanzados, por ejemplo, aprovechando el filtrado y la prevención de amenazas para evitar amenazas sofisticadas basadas en la web, amenazas de Zero Day, ataques evasivos de comando y control y ataques de secuestro de DNS.
Por último, el objetivo compartido de lograr la conformidad con NIS-2 fomentará la colaboración y el intercambio de conocimientos entre organizaciones, partes interesadas del sector y organismos reguladores. La colaboración es parte integrante de la innovación, y el intercambio de mejores prácticas, conocimientos y nuevas tecnologías puede dar lugar a avances significativos en el panorama de la ciberseguridad.
Desbloquear nuevas oportunidades
Es obvio que las empresas estén preocupadas por el cumplimiento de los requisitos de la NIS-2, sobre todo porque se introduce con sanciones severas y bajo la responsabilidad personal de cada empresa. Sin embargo, el potencial de innovación del sector de la ciberseguridad es innegable. El inmenso y nuevo mercado creado por la NIS-2, junto con el énfasis en la colaboración y el intercambio de conocimientos, allanará el camino a la creatividad en el sector de la ciberseguridad, que está llamada a transformar el panorama general tal y como lo conocemos.
Opinión