La llegada del otoño, viene acompañada de la trasposición de la tan esperada NIS2. Esta normativa europea llamada Directiva NIS2, por sus siglas en inglés, Network and Information Security 2, es una ampliación del alcance de su predecesora, NIS original, enfocándose principalmente en unos objetivos claros y ambiciosos: aumentar el nivel general de la ciberseguridad de la UE, mejorar la resiliencia de las redes y sistemas de información y garantizar una respuesta más rápida y coordinada ante un ciber incidente.
Antes de entrar en materia en la Directiva, hay que entender el contexto actual de la sociedad de hiper-conexión y la automatización de procesos en la cual estamos inmersos para así entender cuáles han sido los motivos para que desde la Unión Europea hayan respondido a estos aspectos de esta forma.
Vivimos un momento de nuestras vidas en el que para casi todos los aspectos necesitamos dispositivos digitales y conexión a internet. Piénsalo, date un momento. Además de estar hiperconectados, la adopción que estamos teniendo con la inteligencia artificial y el machine learning nos están presentando nuevos horizontes de desafíos a los que nos exponemos el común de la población. Esta dependencia de la tecnología y la conexión total nos ha hecho ser, en la mayoría de los casos, más eficientes y productivos, pero a su vez también ha incrementado significativamente la superficie de ataque para los ciberdelincuentes.
Si extrapolamos esta situación de hiper-conexión y automatización al mundo de la empresa tenemos una combinación que es necesario evaluar. Por un lado tenemos sistemas con mantenimientos de infraestructuras predictivos, sistemas de gestión del tráfico en tiempo real, asistencia al conductor, pagos y reservas digitales… y por el otro tenemos ataques de phishing dirigidos y automatizados, en el que suplantan la identidad con voz y vídeo con inteligencia artificial, malware inteligente que evaden la detección y son capaces de adaptarse y mutar en tiempo real, manipulación de modelos de IA, etc. se convierte en un incremento significativo de ciberataques y directamente, del daño que estos ocasionan, tanto en lo económico, en lo operacional y en lo reputacional.
Ahora bien, ¿es esta Directiva NIS2 la solución definitiva para que reduzcamos los ciberataques en las compañías del sector transporte? Para dar una respuesta con fundamento, vamos a analizar la Directiva y la situación actual del sector.
La Directiva NIS2 distingue entre entidades esenciales y entidades importantes, en función del grado de criticidad del sector, de los servicios que presten y de su tamaño. Entre estos sectores se incluye el sector transporte, tanto ferroviario como por carretera, que se consideren medianas o grandes empresas. No obstante, cada Estado miembro puede calificar adicionalmente otras entidades como esenciales. Todo ello quedará recogido en una lista de estas entidades que cada Estado miembro tendrá que elaborar antes del 17 de abril de 2025.
Para estas entidades de la lista, se establecen unas medidas de Gobernanza nuevas con respecto a NIS. En este sentido se requiere que los órganos de gobierno aprueben las medidas para la gestión de riesgos de ciberseguridad, así como que supervisen y respondan por el incumplimiento, en el caso de que suceda. Además, será necesario que estos órganos asistan a formaciones para adquirir conocimientos relacionados con los riesgos de ciberseguridad.
Dichas medidas deben fundamentarse en un enfoque basado en la gestión de dichos riesgos respecto a la seguridad de las redes y sistemas de información que utilizan en sus operaciones o para la prestación del servicio, a la vez que minimizar las repercusiones de los potenciales incidentes de seguridad que puedan producirse. Asimismo, se establecen diez agrupaciones de requisitos o medidas de seguridad mínima que cada entidad debe implementar, como, por ejemplo, continuidad de negocio, seguridad de la cadena de suministro, criptografía, formación en ciberseguridad, uso de autenticación multifactor, etc. Además, obliga a notificar cualquier incidente significativo a su CIRT de referencia, en un plazo de 24 horas tras el conocimiento del incidente, incluyendo información detallada sobre el incidente, medidas adoptadas para mitigarla, así como cualquier impacto potencial.
Teniendo en cuenta lo anterior, ¿Cuál es la diferencia entre una entidad esencial y una entidad importante con respecto a NIS2? De momento ninguna en lo relativo a las medidas a aplicar, lo expuesto anteriormente afectaría a ambos tipos de entidades, salvo que la transposición de la norma introdujera alguna matización al respecto. Sí existe una diferencia en relación a las multas administrativas, ya que por ejemplo, la multa máxima que se puede imponer a las entidades esenciales será de 10.000.000 € o el 2 % del volumen de negocio total anual mundial y, en lo que respecta a las entidades importantes, la multa máxima será, de al menos 7.000.000 € o al menos el 1,4 % del volumen de negocio anual total mundial, optándose en ambas por la cuantía que sea mayor (o los 10M € o el 2% del volumen del negocio total mundial del ejercicio anterior).
Una vez hemos analizado la normativa, podemos concluir que es el camino correcto para mejorar la resiliencia de la Unión Europea, especialmente en el contexto de hoy donde la ciberdelincuencia está en aumento, alcanzando el 1,5% del PIB mundial. Esto significa que genera casi el doble de negocio que el tráfico de drogas, armas y trata de personas juntos.
En conclusión, NIS2 mejorará la resiliencia frente a ataques cibernéticos de las compañías, lo que reducirá el riesgo de interrupciones en la operación y mejorará la continuidad del negocio. Además, teniendo en cuenta que es una Directiva Europea, el cumplimiento de esta mejorará significativamente la reputación de las empresas, fortaleciendo la confianza de clientes y socios comerciales en su capacidad para proteger datos y servicios, así como ofrecer nuevas ventajas competitivas, posicionando a las empresas como líderes en ciberseguridad y cumplimiento normativo, y abriendo nuevas oportunidades de negocio en sectores donde la seguridad es una prioridad.