A menos de un mes de la histórica fecha límite actualizada de la Directiva sobre seguridad de la información y las redes (NIS2), las organizaciones de toda la UE se están preparando para que la nueva regulación entre en pleno vigor el 17 de octubre. Sin embargo, la cosa no se detiene ahí. El 17 de enero de 2025 entrará en vigor también la nueva Ley de Resiliencia Operacional Digital (DORA) para las organizaciones financieras y los terceros proveedores de TI del sector.
Organizaciones de toda la UE y aquellas con sede en otros lugares que no negocio con las entidades de la región, enfrentan una presión cada vez mayor para alinearse con estos requisitos regulatorios. La convergencia de estos marcos parece afectar a más de 170.000 organizaciones europeas en total, de las cuales 150.000 organizaciones se verán afectadas por el NIS2 y las estimaciones sugieren que más de 22.000 entidades financieras y proveedores de servicios de TIC se verán afectados por DORA.
¿Qué son NIS2 y DORA?
NIS2 tiene como objetivo proporcionar una legislación integral a nivel de la UE sobre ciberseguridad. Amplía el alcance de la Directiva NIS e introduce requisitos de seguridad más estrictos para 18 sectores empresariales. De manera similar al Reglamento General de Protección de Datos (GDPR), NIS2 trabajará para unir medidas y enfoques de ciberseguridad entre organizaciones para ayudar a fortalecer la infraestructura digital europea.
DORA es una directiva sectorial específica para instituciones financieras, dirigida a su enfoque del riesgo operativo. DORA tiene dos objetivos claros. En primer lugar, reforzar la gestión de riesgos de TI en todo el sector de servicios financieros. En segundo lugar, armonizar las regulaciones actuales de gestión de riesgos de TI que ya existen en todos los estados miembros de la UE.
DORA no deja margen de discreción a nivel de los estados miembros, mientras que NIS2 es una directiva que permite a los países desarrollar reglas basadas en sus necesidades nacionales específicas.
Estrategias de cumplimiento para NIS2 y DORA
Si bien puede parecer mucho exigir a las empresas que ya están pasando apuros en una situación económica difícil, regulaciones como éstas se crean en respuesta al creciente panorama de amenazas, y la implementación de los cambios necesarios traerá nuevas oportunidades para mejorar la resiliencia cibernética y, en general, postura de seguridad. Para aprovechar estas oportunidades y mantenerse a la vanguardia de las regulaciones entrantes, a continuación se presentan nueve estrategias de cumplimiento que las organizaciones deben adoptar:
Evaluación integral de riesgos: Las organizaciones deben realizar una evaluación de riesgos exhaustiva que cubra los requisitos tanto de NIS2 como de DORA. Esto debería incluir la identificación de activos críticos, la evaluación de amenazas potenciales y la evaluación del impacto de diversos escenarios de riesgo. Un enfoque unificado de evaluación de riesgos ayuda a identificar vulnerabilidades comunes y a desarrollar una estrategia de mitigación simplificada.
Educación y formación: Debido a los recursos limitados, las organizaciones a menudo se encuentran particularmente vulnerables a las amenazas cibernéticas. Pero incluso cuando los recursos son limitados, las empresas pueden implementar sesiones continuas de capacitación y concientización, así como crear e implementar medidas de seguridad bien definidas. Con esta capacitación periódica, las organizaciones pueden fomentar la cultura necesaria para el cumplimiento y la concienciación sobre la seguridad.
Adoptar un modelo de responsabilidad compartida: En los últimos años, los ciberdelincuentes han avanzado en sus tácticas, ejerciendo una inmensa presión sobre las empresas para que actúen con rapidez. Una forma de abordar estas preocupaciones es adoptar un modelo de responsabilidad compartida para garantizar que las políticas y prácticas de seguridad estén actualizadas y se apliquen de manera uniforme en todas las organizaciones, sin dejar piedra sin remover. Una estrategia de cumplimiento activo comienza con roles, responsabilidades y objetivos claramente definidos y documentados dentro de la política corporativa, en línea con las directivas NIS2 y DORA.
Informe integrado de incidentes: Las organizaciones deben implementar un plan de respuesta a incidentes coherente y unificado para cumplir con los requisitos tanto de NIS2 como de DORA, dado que ambos exigen mecanismos de notificación de incidentes. Esto incluye optimizar los canales de comunicación de manera efectiva, comunicaciones transparentes con los consumidores y garantizar la presentación de informes oportunos a las autoridades pertinentes.
Hacer de la ciberseguridad un valor fundamental: Los líderes de seguridad deben trabajar duro para desmitificar la ciberseguridad y demostrar cómo unos pocos cambios de comportamiento pueden proteger a toda la organización de acuerdo con NIS2 y DORA. Es responsabilidad de los equipos de liderazgo senior incorporar la seguridad y la privacidad en todas las iniciativas relacionadas con los datos desde el principio.
Gobernanza entre marcos: Las empresas deben considerar la creación de equipos de cumplimiento dedicados o la integración de responsabilidades en funciones de gestión de riesgos existentes para supervisar el cumplimiento de acuerdo con múltiples marcos. Al crear una estructura de gobernanza clara, las organizaciones pueden mantener la coherencia, evitando la duplicación de esfuerzos y garantizando la rendición de cuentas.
Pruebas de resiliencia cibernética: No hay cumplimiento sin pruebas periódicas de los sistemas y procesos. Las organizaciones deben desarrollar un programa de pruebas integral que incluya pruebas de penetración, equipos rojos y ejercicios de continuidad del negocio para cumplir con los requisitos de NIS2 y DORA. Las organizaciones deben alinear sus procedimientos de prueba con los requisitos de los marcos para garantizar una postura de seguridad más resistente.
Aprovechando la tecnología: Para facilitar la gestión del cumplimiento, las empresas deben utilizar e integrar soluciones tecnológicas en su estrategia general de seguridad. Esto incluye soluciones basadas en datos para evaluación de riesgos, gestión de incidentes y pruebas de resiliencia. Para garantizar informes más precisos, se deben considerar soluciones automatizadas para ayudar a optimizar los procesos y reducir los esfuerzos manuales.
Desarrollar confianza y transparencia: Para que exista confianza, las organizaciones deben, de acuerdo con NIS2 y DORA, compartir cómo la empresa maneja los datos y la información personal, incluido cómo se protege. Proporcionar esta información contribuirá en gran medida a potenciar iniciativas más amplias de ciberseguridad. Una respuesta de seguridad sólida va mucho más allá de la protección de datos: abarca a los reguladores, empleadosconsumidores y más. Por lo tanto, el cumplimiento continuo puede significar la diferencia entre un mal necesario y un socio confiable.
Convertir los desafíos de cumplimiento en oportunidades
A medida que se acercan las fechas límite para NIS2 y DORA, la adopción de un enfoque unificado para la gestión de riesgos, informes de incidentes, pruebas de resiliencia, tecnología y más, puede ayudar a las organizaciones a navegar el panorama regulatorio de manera efectiva. El objetivo no es sólo cumplir con estos marcos sino aprovecharlos como catalizadores para mejorar la postura general de seguridad y la resiliencia operativa.
Hemos enumerado las mejores herramientas de monitoreo de red.
Este artículo se produjo como parte del canal Expert Insights de TechRadarPro, donde presentamos las mejores y más brillantes mentes de la industria tecnológica actual. Las opiniones expresadas aquí son las del autor y no son necesariamente las de TechRadarPro o Future plc. Si estás interesado en contribuir, descubre más aquí: https://www.techradar.com/news/submit-your-story-to-techradar-pro