Madrid, 17 de julio de 2024. La Unión Europea puso en marcha el pasado 17 de enero de 2023 la nueva directiva NIS2 (Network & Information Security), subrayando la importancia de la ciberseguridad como componente fundamental de la economía y la sociedad digitales y planteando una mejora en la protección digital de los países miembros. Esta directiva debe ser adoptada por la legislación nacional de todos los estados miembros de la Unión Europea antes del 18 de octubre de 2024, y estos deben elaborar planes nacionales de seguridad y formar equipos especializados para su implementación.  

De cara a facilitar a las empresas españolas la adopción de esta nueva normativa, BeDisruptive, boutique tecnológica experta en ciberseguridad, resalta 5 pasos fundamentales: 

1. Chequear el ámbito de aplicación: El primer paso consiste en evaluar si la NIS2 afecta a la organización, que solo aplicaría a aquellas entidades que se ajustasen a la categoría de entidades esenciales o importantes. 
2. Definir medidas: Una vez establecida la obligación de ajustarse a la norma, es necesario definir, mediante un análisis de carencias, cuáles serán las medidas técnicas, operativas y organizativas adecuadas, con referencia al principio de responsabilidad, para proteger los sistemas y redes informáticos adoptando un enfoque multirriesgo. Es decir, se trata de determinar si la organización necesita aplicar medidas o dónde debe mejorar para cumplir los requisitos de la nueva normativa y, al mismo tiempo, determinar si también son necesarias las inversiones o competencias que la organización necesita para cumplirla. 
3. Definir criterios de impacto: A la hora de hacer esta evaluación, no hay que olvidar definir criterios de impacto en la empresa para determinar qué procesos, centros o recursos entran en el ámbito de cumplimiento de la directiva. 
4. Evaluación del impacto: Una vez definidos los criterios de impacto, a continuación, debe realizarse una evaluación del impacto en la empresa para identificar cuáles de estos procesos son críticos y cuál es su dependencia de la red y los sistemas de información. 
5. Implantar un Sistema de Seguridad de la Información y Gestión de Riesgos: Por último, las empresas que entren en el ámbito de aplicación de la NIS2 tendrán que ser capaces de gestionar los riesgos para la seguridad de la información. Para cumplir este requisito, es necesario implantar un Sistema de Seguridad de la Información y Gestión de Riesgos de forma que sea posible identificar, tratar y controlar los riesgos para la seguridad de la información de la organización, así como garantizar la definición de responsabilidades y el funcionamiento de los procesos clave. 

Para Arturo Belda, Consultancy Director de BeDisruptive: “La NIS2 no solo impone nuevas obligaciones, sino que también ofrece una oportunidad para que las empresas fortalezcan su resiliencia informática. Es crucial adoptar una mentalidad preventiva a la hora de gestionar y mitigar los riesgos, comprender sus posibles repercusiones en la infraestructura y las operaciones empresariales, así como vigilar de cerca la cadena de suministro para identificar y abordar cualquier vulnerabilidad». 

NIS2 y la cadena de suministro 

En los últimos años, los ciberataques han afectado a muchos sectores de la cadena de suministro. Según Gartner, para 2025 se espera que el 45% de las organizaciones sufran ataques en su software de cadena de suministro. Esto pone de manifiesto el amplio impacto de los ciberataques y la creciente importancia de la seguridad de la cadena de suministro. De hecho, es más crucial que nunca reconocer que la seguridad digital también está determinada por el nivel de seguridad del socio más débil de la cadena. 

“El reglamento NIS2 hace hincapié en la cadena de suministro, estipulando que las organizaciones que presten determinados servicios a entidades cubiertas por la NIS2 tendrán que reforzar su seguridad digital, aunque no estén explícitamente incluidas en el ámbito de aplicación de la directiva. De ello se deduce que es crucial conocer la propia cadena de suministro y evaluar su seguridad de acuerdo con los requisitos del nuevo reglamento, teniendo en cuenta que la mayoría de las infracciones que se producen con éxito tienen su origen en ataques indirectos a organizaciones a través de su cadena de suministro”, finaliza Arturo Belda. 

Más información sobre la NIS2 y cómo aplicarla en el whitepaper ‘Cumplimiento de la Directiva NIS2 para organizaciones’.

Sobre BeDisruptive   

BeDisruptive es una boutique tecnológica multinacional especialista en ciberseguridad que acompaña a sus clientes en el diseño de soluciones y el mantenimiento de un entorno seguro. Con presencia en Madrid, Roma, Ciudad de Panamá y, próximamente, en Milán y Washington D.C. BeDisruptive ayuda a proteger la información y los activos de sus clientes, limitando con eficacia las amenazas para que puedan avanzar con ciberseguridad en su transición digital hacia un futuro sin límites. La compañía está adherida al Pacto Mundial de las Naciones Unidas y está comprometida alineando sus operaciones con los Diez Principios universalmente aceptados en materia de derechos humanos, normas laborales, medioambiente y lucha contra la corrupción, poniendo especial foco en cuatro de los ODS de esta iniciativa: Salud y bienestar, Educación de calidad, Igualdad de género y Alianzas para lograr los ODS. Más información en su web, LinkedIn, Twitter e Instagram.  

Contacto de prensa:  

Carlos Arias | [email protected] | +34 616 316 043 

Carmen Fuentes | [email protected] | +34 664 556 585