En concreto, son compañías que operan en un total de 18 sectores, considerados esenciales -como Energía, Banca o Salud- o críticas -como Química, Alimentación o Fabricación-. El no cumplimiento de esta regulación puede conllevar sanciones de hasta 10 millones de euros o el 2% de la facturación, en el caso de las primeras, y de 7 millones o el 1,4% del volumen de negocio, para las segundas.
Según Juan Francisco Moreda, responsable de /fsafe, la unidad de ciberseguridad de fibratel, “son muchas las entidades, sobre todo las que no estaban reguladas por la norma anterior, la NIS1, las que sienten más presión a la hora de implementar los requisitos de la nueva normativa. Además, percibimos que está suponiendo un mayor reto para las medianas empresas a las que afecta la regulación, por sus presupuestos de TI más limitado y la falta de recursos internos necesarios para adaptarse”.
Esta unidad especializada está ayudando a las organizaciones en abordar este desafío ayudándolas a determinar las herramientas que mejor se adaptan a sus necesidades concretas, alineándolas con los requerimientos que plantea NIS2, de forma que “contribuimos a que sean más resilientes y a impulsar su transformación digital, garantizando que sea ordenada y segura”, explica el experto.
Los expertos de esta unidad de fibratel han identificado los tipos de soluciones que, en función de la madurez de seguridad de cada organización, serán necesarias para la adecuación a la normativa:
• Gestión de riesgos: las empresas necesitan identificar y evaluar los riesgos para establecer procedimientos que les permitan mejorar su postura de ciberseguridad. Para ello necesitarán soluciones que faciliten la evolución de continua tanto de los riesgos técnicos como humanos, y la definición de políticas centralizadas y obtener una visibilidad completa para su adecuada gestión. No hay que olvidarse de la evaluación y control de las amenazas procedentes de la nube.
• Respuesta a incidentes y continuidad de negocio: con NIS2 se convierte en necesaria la monitorización para mejorar la detección de amenazas y agilizar la respuesta ante incidencias para evitar la parada de las operaciones. En este punto, tanto para proteger los entornos cloud como on-premise, son necesarias soluciones o plataformas que detecten las amenazas, proporcionen alertas y automaticen la reacción.
• Seguridad de la cadena de suministro: las empresas deben proteger sus cadenas de suministro, físicas o digitales, contra posibles ataques. Aquí entran en juego soluciones de segmentación de red para aislar proveedores, herramientas de evaluación de la seguridad de terceros y productos de protección frente a la suplantación de identidad de proveedores, así como de control de acceso a aplicaciones SaaS de otras empresas.
• Divulgación de vulnerabilidades: la norma exige establecer mecanismos para reportar y gestionar las vulnerabilidades de forma responsable. Para cumplir este requerimiento, se precisan soluciones para la identificación las vulnerabilidades susceptibles de ser explotadas, la detección de configuraciones inseguras en la nube y plataformas de inteligencia de amenazas y CVEs, entre otras.
• Autenticación multifactor y cifrado de datos en tránsito y reposo: es necesario también aplicar estas técnicas para proteger el acceso y la integridad de la información, con soluciones para este propósito.
• Formación en ciberseguridad: la ley exige políticas de ciberhigiene y formación en ciberseguridad para todos los empleados, tanto para los más técnicos como para el resto de la plantilla. En este ámbito se puede recurrir a plataformas de formación y concienciación, que ofrecen recursos educativos y de simulación de ataques, e incluso existen herramientas que emiten alertas en tiempo real para usuarios que violan las políticas corporativas.
• Notificación de incidentes: con esta norma, las incidencias importantes tendrán que notificarse en 24 horas y las menos relevantes en 72. Por tanto, deberán definirse planes efectivos de respuesta y procedimientos claros de notificación. Existen soluciones que generan alertas automáticas e informes para cumplimiento, y otras que emiten notificaciones en tiempo real de violaciones de políticas, así como herramientas de filtrado de incidentes y de integración de sistemas de ticketing y notificación.
• Gobernanza y responsabilidad de la alta dirección: algo novedoso en esta regulación es que la dirección de la empresa debe asumir responsabilidad directa sobre el cumplimiento. Por esta razón, será importante disponer de herramientas que generen dashboards ejecutivos e informes de cumplimiento, y que evalúen el riesgo humano y la exposición de ejecutivos.
• Supervisión continua de los sistemas y auditorías de seguridad: la ley lo exige para detectar y corregir posibles fallos. Para ello, existen soluciones de monitorización y auditoría, registro de eventos, telemetría continua y análisis forense y visibilidad completa del tráfico cloud y de las TI en la sombra.
• Cooperación internacional y sectorial: esto implica compartir la inteligencia de amenazas y una colaboración estrecha con los organismos de ciberseguridad.