Hace unos años, Arturo Pérez-Reverte mencionó en una entrevista que “no se puede legislar el sentido común”. Aunque esta afirmación resulta contundente, en el ámbito de la ciberseguridad nos encontramos con una realidad diferente: la necesidad de normativas que compensen la falta de concienciación y buenas prácticas en algunos sectores industriales.
La llegada de marcos regulatorios como la directiva NIS2, de aplicación obligatoria desde el 17 de octubre de 2024, refuerza esta idea. A pesar de que el sentido común debería ser la primera línea de defensa, y de que las empresas deberían implementar medidas de ciberseguridad de manera proactiva, la normativa se convierte en un elemento clave para garantizar la acción.
¿Qué exige NIS2 y por qué surge?
Las medidas requeridas por la directiva no son revolucionarias ni demandan inversiones desproporcionadas. De hecho, están basadas en principios básicos de ciberseguridad que deberían haberse adoptado hace tiempo, como pueden ser la gestión de riesgos, la documentación y notificación de incidentes de seguridad y continuidad relevantes, auditorías de vulnerabilidades periódicas y un plan de respuesta y continuidad ante ciberataques.
La realidad ha demostrado que sectores esenciales aún carecían de estas prácticas antes de la introducción de NIS2. Su implementación no solo busca proteger las infraestructuras críticas, sino también fomentar una cultura preventiva y proactiva en ciberseguridad. Esta directiva responde a diversos factores:
- Incremento de ciberataques: Las infraestructuras críticas han sido blanco frecuente de ataques, exponiendo la necesidad de un enfoque más robusto.
- Ampliación del alcance: Mientras que la primera versión de la directiva en 2016 cubría solo siete sectores, NIS2 se extiende a 35.
- Evolución tecnológica y de amenazas: Desde su implementación inicial, el panorama ha cambiado radicalmente, lo que exige medidas más estrictas y sanciones por incumplimiento.
El objetivo final es un entorno más seguro, resiliente y confiable, donde servicios esenciales puedan operar sin interrupciones incluso ante un ciberataque.
Ciberseguridad como prioridad diaria
NIS2 busca transformar la ciberseguridad en un elemento cotidiano, integrándola en la toma de decisiones estratégicas. Esto implica crear conciencia colectiva sobre su importancia y garantizar que la protección de datos sea parte fundamental de cualquier organización.
Adoptar estas medidas no significa comprometer el presupuesto o el rendimiento operativo. De hecho, es posible combinar ciberseguridad y eficiencia a través de:
- Automatización: Uso de sistemas inteligentes y machine learning para detectar y responder a amenazas.
- Formación: Capacitar al personal para que cada empleado sea un eslabón fuerte en la cadena de seguridad.
- Evaluación continua: Revisar y adaptar las contramedidas a nuevas amenazas.
Una oportunidad para un futuro sostenible
Más allá de cumplir con la normativa, NIS2 ofrece la posibilidad de construir un entorno digital más seguro y sostenible. Reduce el impacto de los ataques, asegura la continuidad del negocio y previene pérdidas económicas o daños reputacionales irreversibles.
La pandemia de COVID-19 nos recordó cómo las disrupciones pueden poner a prueba la resiliencia de las organizaciones. Adoptar las medidas de NIS2 no solo es una obligación, sino también una inversión en confianza y sostenibilidad a largo plazo.
¿Estamos listos para dar este paso?
GMV
CyberSecurity Consultant
