¿Cómo pueden las empresas afectadas por la Directiva NIS2 y el reglamento DORA integrar de manera efectiva la gestión de riesgos en sus estrategias corporativas?
Las empresas deben adoptar un enfoque integral en la gestión de riesgos, alineándola con sus objetivos estratégicos y operativos. Esto implica realizar análisis de riesgos periódicos, establecer protocolos claros para la identificación y mitigación de amenazas, y garantizar la formación continua del personal en ciberseguridad. Integrar herramientas tecnológicas avanzadas, como sistemas de inteligencia artificial para la detección temprana de amenazas, facilita la prevención y permite una respuesta eficaz.
En el marco del reglamento DORA, la obligación de notificar cualquier incidencia crítica en un plazo de 24 horas exige que la gestión de riesgos esté plenamente integrada en la estrategia corporativa. Esto incluye la implementación de sistemas de monitoreo en tiempo real y protocolos de comunicación rápidos y efectivos que permitan escalar información relevante a las autoridades reguladoras dentro de los plazos establecidos. Al mismo tiempo, es esencial que la alta dirección asuma un rol activo en este proceso, asegurando que estas prácticas estén integradas dentro del marco de gobernanza y se conviertan en una prioridad estratégica.
¿Qué papel juegan las tecnologías emergentes y la innovación en la capacidad de las empresas de sectores esenciales e importantes para detectar, responder y recuperarse de incidentes cibernéticos?
Las tecnologías emergentes, como la inteligencia artificial, el aprendizaje automático y la automatización, son fundamentales para optimizar la detección y respuesta a incidentes. Estas herramientas permiten analizar grandes volúmenes de datos en tiempo real, identificando patrones sospechosos que podrían pasar desapercibidos con enfoques tradicionales. Por otro lado, la innovación en soluciones de ciberseguridad, como las arquitecturas de confianza cero, fortalece la capacidad de contención de amenazas. Además, la adopción de plataformas de recuperación basadas en la nube garantiza una continuidad operativa más ágil tras un incidente.
¿Cómo impactarán las obligaciones de notificación de incidentes y la gestión de riesgos de terceros en la competitividad y la capacidad operativa de las empresas financieras y de otros sectores clave en Europa?
Estas obligaciones representarán un desafío inicial para muchas empresas, ya que implican inversiones significativas en infraestructura tecnológica, procesos de monitorización continua y en la gestión de riesgos de terceros, lo que podría percibirse como una amenaza en un principio. Sin embargo, a medio plazo, estas medidas tendrán un impacto positivo al prevenir el fraude, minimizar riesgos reputacionales y fortalecer la confianza de clientes y socios, demostrando un compromiso sólido con la ciberseguridad y la resiliencia operativa. Además, fomentar relaciones más transparentes con los proveedores y evaluar continuamente su desempeño en ciberseguridad permitirá consolidar cadenas de suministro más robustas y competitivas, posicionando a las empresas que adopten estas prácticas de forma proactiva como referentes en sus sectores.
¿Cuáles considera que son las principales barreras para que las empresas medianas y grandes cumplan con los nuevos requerimientos de gestión de riesgos, notificación de incidentes y continuidad de negocio?
Las principales barreras incluyen la falta de recursos especializados, especialmente en empresas medianas que no cuentan con equipos robustos de ciberseguridad. También es un desafío la complejidad técnica de implementar sistemas avanzados que cumplan con las normativas, así como la dificultad para adaptar procesos internos a nuevas obligaciones regulatorias. Además, la resistencia al cambio cultural dentro de las organizaciones y la falta de coordinación entre los diferentes departamentos dificultan la implementación efectiva de estas medidas.
¿Qué estrategias de colaboración entre sectores y administraciones públicas podrían facilitar una mayor resiliencia frente a ciberataques en infraestructuras críticas y cadenas de suministro?
La clave está en fomentar alianzas público-privadas que permitan compartir información sobre amenazas y buenas prácticas en tiempo real. Las administraciones públicas pueden liderar la creación de plataformas de intercambio de inteligencia cibernética y proporcionar incentivos para que las empresas inviertan en ciberseguridad. Por su parte, las empresas deben participar activamente en redes de colaboración sectoriales para coordinarse mejor en caso de incidentes. La estandarización de protocolos y la formación conjunta entre sectores también contribuirán a una mayor resiliencia.
VASS
Director Global de Energy, Utilities & Environment
