Para algunos, el viernes 13 de mayo de 2022 no sería una buena fecha para hacer un anuncio significativo sobre el futuro de la ciberseguridad, pero la Unión Europea (UE) lo ha hecho. Anunció un acuerdo político entre el Parlamento Europeo y los estados miembros para actualizar lo que fue el primer ejemplo de legislación de ciberseguridad en toda la UE: la Directiva NIS de 2016.
Entonces, una revisión que comenzó en diciembre de 2020 ha alcanzado un hito importante en su viaje. Pero, ¿cómo podrían las leyes y reglamentos de ciberseguridad mejorados, denominados NIS2, transformar la ciberseguridad en la UE?
Brindar resiliencia cibernética a nivel sistémico requiere un liderazgo real y una acción individual y colectiva. La UE tiene un papel importante que desempeñar en la creación de los incentivos, la gobernanza y la transparencia adecuados para la resiliencia cibernética, no solo para el mercado único más grande del mundo, sino también a nivel mundial.
Si bien la Directiva NIS original de 2016 ayudó a mejorar la ciberseguridad, dejó demasiados vacíos y margen de maniobra para los estados miembros individuales. El resultado fue la ambigüedad, la falta de rendición de cuentas y, en última instancia, la fragmentación.
Las brechas en los enfoques crean fricción, actúan como una barrera para el comercio y, finalmente, generan un mayor riesgo para las empresas y las personas. Es por eso que NIS2 es tan importante para la comunidad de ciberseguridad. Había cuatro lagunas principales que esta nueva política pretende llenar.
1ra escala
En primer lugar, amplía significativamente el alcance de su aplicación, lo cual es de gran importancia. El aumento de las redes, la digitalización rápida y la conectividad ubicua significan que cada vez más empresas se vuelven sistémicamente importantes para protegerse contra los riesgos cibernéticos.
Redefinir el alcance original para cubrir más claramente los «servicios esenciales», incluidos el transporte, la banca y la administración pública, así como las entidades que operan en estos servicios, como la producción de alimentos, los servicios postales y la gestión de residuos, significa que se necesitarán medidas de resiliencia cibernética. en abundancia registrados a mayor escala en todo el continente.
2. Gobernanza
Otro paso importante es mejorar la gobernanza de la seguridad y responsabilizar a los líderes empresariales por la resiliencia cibernética. La responsabilidad impulsa el comportamiento.
La comprensión de que la alta dirección necesita conocer los estándares de seguridad y supervisar procesos que estén alineados con las prácticas de gestión de riesgos y que sean suficientes para gestionar ese riesgo impulsará el cambio de arriba hacia abajo en una organización. El cibernético debe ser un problema a nivel de directorio y de alta gerencia y no delegado a los equipos técnicos.
La rendición de cuentas empoderará a los directores de seguridad de la información (CISO), pero también conlleva la expectativa de que puedan comunicarse de manera efectiva con la alta gerencia y ser líderes técnicos y comerciales.
3. Multas y Sanciones
La gobernanza es especialmente importante cuando se combina con un aumento de las multas y sanciones.
NIS2 prescribe un conjunto más amplio de poderes para ser delegados a las autoridades competentes. Puede multar al menos una cantidad fija o el 2% de las ventas globales para negocios esenciales. Este es un incentivo importante para que las empresas se aseguren de cumplir con sus obligaciones.
Las multas de esta magnitud en otras jurisdicciones, especialmente en los EE. UU. y el Reino Unido, han dado lugar a una mayor resiliencia, como las sanciones impuestas a Uber, Equifax y British Airways.
Estas nuevas sanciones potenciales serán una palanca importante para la resiliencia en la UE y más allá.
4. Obligaciones de respuesta a incidentes
Finalmente, se cerraron las lagunas y se revisaron las obligaciones de respuesta a incidentes.
Por ejemplo, aclaró qué constituye un “impacto significativo” en una organización. Ya no será una métrica definida (número de usuarios afectados), sino si ha habido una interrupción de los servicios críticos o pérdidas financieras o materiales. Además, las notificaciones se han reducido de 72 horas a 24 horas y se está informando a los usuarios de los servicios y posiblemente al público.
En conjunto, estas revisiones de los requisitos de presentación de informes incentivarán una mayor responsabilidad por la resiliencia cibernética y brindarán una mayor transparencia a todas las partes afectadas por una posible infracción. La divulgación genera responsabilidad.
Como se describe en NIS2, la gobernanza a este nivel puede ser algo bueno para los negocios y la economía. Si bien muchos verán esta creciente responsabilidad como un costo potencial para las empresas, construir un ecosistema digital más resistente es un imperativo estratégico.
Donde el Reglamento General de Protección de Datos (GDPR) ha impulsado los estándares de datos en la Unión Europea, también se ha convertido en un modelo a seguir en todo el mundo. NIS2 tiene el potencial de subir el listón y llenar los vacíos no solo en la legislación actual de ciberseguridad de la Unión Europea, sino también más allá de las fronteras de los 27 estados miembros que deben implementarlo.
Will Dixon es director global de la Academia en ISTARIS. Anteriormente, Will dirigió el Centro Global para la Ciberseguridad en el Foro Económico Mundial, asesoró a la Agencia de Ciberseguridad de la UE (ENISA) y fue Jefe Global de Inteligencia en la Oficina Principal de Seguridad de Barclays Bank.
