No pasa una semana sin él un ciberataque graveobligando a las autoridades a adaptar su legislación con el tiempo para proteger las empresas y la infraestructura pública. Este imperativo empujó al Parlamento Europeo en 2016 a adoptar la directiva NIS (para Redes y Sistemas de Información), cuya aplicación comenzó en 2018. Su objetivo era imponer un determinado estándar de ciberseguridad a las empresas que operan en sectores de vital o importancia estratégica, como la energía, la alimentación o incluso los servicios financieros.
Pero con la rápida evolución del campo de la ciberseguridad, NIS ya está resultando obsoleto. Si bien las grandes corporaciones y agencias gubernamentales han fortalecido significativamente sus defensas cibernéticas, los ciberdelincuentes han descubierto un nuevo truco para eludirlas: apuntar a empresas más pequeñas y vulnerables ubicadas a lo largo y ancho de la cadena de valor. Y eso no entraba en los requisitos del NIS.
Por lo tanto, en 2020, el Ciberataque contra el proveedor de software SolarWinds permitió a los ciberdelincuentes piratear varias ramas del gobierno federal de EE. UU. Y en julio pasado, fue una actualización defectuosa del software de ciberseguridad CrowdStrike la que paralizó más de 8,5 millones de PC con Windows, el sistema operativo dominante de Microsoft.
“El error más grande de la historia”: 5 preguntas para comprender la interrupción de Microsoft-Crowdstrike
15.000 entidades se vieron afectadas en lugar de 500
De ahí la necesidad de ampliar el alcance de los SNI a un mayor número de actores.
« Hoy en día, un ciberataque puede atravesar cualquier elemento de la cadena de valor de una empresa. Por tanto, es importante aumentar el nivel de ciberhigiene de todos los socios, a nivel europeo, para tener una homogeneidad que pueda prevenir de forma más eficaz los ciberataques. », observa Eddy Sifflet, experto en NIS 2 de Check Point France, un software de seguridad informática.
De hecho, la directiva NIS 2, adoptada en noviembre de 2022 en Bruselas y que se aplica automáticamente en la Unión Europea a partir del 17 de octubre, determina un verdadero cambio de escala. Por tanto, el número de entidades afectadas aumentará de 500 a 15.000 en Francia y de 15.000 a 100.000 en la Unión Europea, para tener en cuenta, entre otros, los subcontratistas de la cadena de suministro.
La nueva ley afecta a más pymes y el ámbito de actividad se ha ampliado a 18 sectores, entre ellos sanidad, transporte, gestión de residuos, proveedores de servicios digitales e incluso municipios de más de 30.000 habitantes.
NIS 2 introduce un “ regla de tamaño » identificar entidades reguladas, lo que significa que “ todas las entidades medianas y grandes que operen en los sectores o presten servicios cubiertos por la directiva estarán dentro de su ámbito de aplicación », según el Consejo de la UE.
¿Cómo protegerse de los ciberataques en Francia a partir de 2023?
Francia tarda en transponer
Como es habitual, los Estados miembros han tenido dos años para transponer la directiva europea a su legislación nacional y aclarar sus contornos. Pero mientras el vencimiento llega, Francia no está preparada. El proyecto de ley de transposición no se presentó al Consejo de Ministros hasta el 15 de octubre. Un retraso debido principalmente a la disolución de la Asamblea Nacional.
La Comisión Superior Digital y Postal (CSNP) alertó a principios de octubre sobre los desafíos que plantea la transposición de la directiva NIS 2 en Francia, y la ANSSI lleva varios meses trabajando en un documento que debería permitir esta transposición. Queda por someterse a la votación de la Asamblea Nacional, que promete ser delicada en el contexto de división que vive el país.
Francia no es el único mal estudiante de la UE: hasta la fecha sólo 3 de 27 países (Bélgica, Croacia y Hungría) han publicado su ley de transposición. Por tanto, las empresas tendrán hasta el 31 de diciembre de 2027 para cumplir.
Una lista de buenas prácticas a adoptar
Las empresas involucradas deberán adoptar un conjunto de medidas técnicas, operativas y organizativas adecuadas para gestionar los riesgos relacionados con la seguridad de las redes y los sistemas de información.
« Encontraremos todo lo relacionado con la formación y sensibilización en ciberhigiene, ya que sabemos lo crucial que es el factor humano. Este trabajo debe abordar también la gestión para implementar una verdadera gobernanza y estrategia de ciberseguridad, sin que los equipos de TI sean los únicos afectados, ni los únicos responsables. », señala Eddy Sifflet.
la gran mayoría De hecho, los ciberataques son posibles gracias a fallos humanos. “ Pero también medidas más tecnológicas como la implementación del cifrado, la seguridad de las comunicaciones, ya sean llamadas, SMS o videoconferencias. O la implementación de una política real de derechos y autorizaciones sobre los sistemas: garantizar que para acceder a las aplicaciones se tengan derechos específicos y no un acceso predefinido a todo el sistema de información. Estamos hablando de un enfoque Zero Trust, o ZTNA. », añade.
La nueva directiva también introduce obligaciones de notificación e información después de un accidente. Las entidades afectadas tendrán ahora un plazo de 24 horas para enviar un informe inicial a la autoridad competente (en el caso de Francia, ANSSI) y especificar si existe posibilidad de impacto transfronterizo. Luego, dentro de las 72 horas siguientes al incidente, deberán detallarlo y proporcionar una evaluación de su impacto.
Una fuente contactada por en la tribuna sugiere que el texto de la ANSSI es ligeramente más restrictivo que la directiva europea a este respecto, en particular al proporcionar más detalles sobre los elementos que deben incluirse en la notificación del accidente.
Mejorar la coordinación a nivel europeo
De hecho, el objetivo de NIS 2 es también fomentar la circulación de información entre los distintos países europeos después de un ciberataque, para limitar las repercusiones.
« Si la empresa A es víctima de un ciberataque, necesita comunicarse con sus pares, alertarlos y averiguar si ellos también han sido víctimas, diciendo “Tuve esto. ¿Estás bien protegido? ¿Ha implementado las medidas adecuadas? Logramos repeler el ataque o restablecer el servicio de una forma u otra…” Este es realmente un trabajo que debe realizarse a escala europea. », explicó Eddy Sifflet.
Una red de comunicación específica y segura, denominada CyCLONe (por Red de organizaciones de enlace en caso de crisis informática) se creó con este objetivo en mente.
El texto también pretende proponer una homogeneización de los CERT (Equipo de respuesta a emergencias informáticas), centros de intervención movilizados durante una crisis. “ Ya existen numerosos centros de competencia en caso de un ciberataque, especialmente en empresas privadas. La ciberrespuesta está ahora dirigida por un único punto de contacto en cada Estado miembro: existe, por tanto, un CERT-FR, liderado por ANSSI en el caso de Francia. Una de las ambiciones de NIS 2 es crear una red europea para coordinar su acción y estandarizar las respuestas a incidentes de seguridad dentro de la Unión Europea. », explica François-Pierre Lani, abogado especializado en tecnología digital de Derriennic Associés.
Imponer medidas proactivas
Otra innovación introducida por NIS 2: la proactividad de los enfoques. Anteriormente, la ANSSI era responsable de verificar el nivel de resiliencia TI de las empresas. Ahora corresponde a las empresas autoevaluarse y autodeclararse, y la ANSSI desempeña un papel de seguimiento.
Ante los ciberataques rusos, la UE lanza su primer gran “ciberescudo”
En caso de incumplimiento de las obligaciones de seguridad, la Directiva prevé sanciones económicas que oscilan entre 7 y 10 millones de euros o entre el 1,4% y el 2% del volumen de negocios total, según el grado de importancia de la entidad de que se trate. Otra novedad: la directiva introduce la responsabilidad penal de los directivos en caso de incumplimiento de las obligaciones dictadas por la ley. Con el riesgo de sobrecarga para los dirigentes empresariales, según François-Pierre Lani.
« Entre los diversos textos europeos que han surgido sobre los sistemas de información se acumulan riesgos de sanciones para las empresas. Entre el GDPR, la AI Act, ahora NIS 2 con sus propias sanciones, DORA que integra NIS 2 con la resiliencia operativa de bancos y compañías de seguros, con riesgos también de sanciones… Los CIO y CISO se enfrentan a problemas no frenar la regulación y riesgos de sanciones que, sumados, pueden representar más del 50% de la facturación de la empresa. En este contexto, un directivo ya no puede prescindir del puesto de responsable de cumplimiento dentro de su empresa. »
El Reino Unido tiene su propia ley cibernética
Al otro lado del Canal, el gobierno británico está trabajando actualmente en su propio proyecto de ley, el Proyecto de Ley de Resiliencia y Seguridad Cibernética. Aún en forma de borrador, se presentará al Parlamento a principios de 2025 y se espera que comparta muchas similitudes con NIS 2, con miras a fortalecer también la cohesión entre las empresas del Reino Unido y la UE.
Reino Unido: Ministerio de Defensa afectado por un ciberataque, sospecha China
Sin embargo, se espera que el texto británico contenga algunas diferencias sutiles con la directiva europea, particularmente en lo que respecta a la notificación obligatoria de incidentes cibernéticos y el alcance que cubre.
« Los dos textos tienen en común que enfatizan la comunicación con las autoridades después de un incidente cibernético. Pero los objetivos declarados difieren ligeramente.. NIS 2 hace necesaria esta declaración para evaluar el impacto inmediato (…), mientras que el texto del Reino Unido contiene más términos para proporcionar al gobierno mejores datos sobre los ciberataques. », explica James Hodge, vicepresidente de grupo y asesor jefe de estrategia de Splunk, especialista en observabilidad de datos.
Y para agregar: “En mi opinión, esto se debe al hecho de que el gobierno del Reino Unido cree que no puede garantizar la resiliencia cibernética por sí solo y que su papel debería ser compartir la mayor cantidad de información posible para permitir que los actores mejoren aprendiendo constantemente de sus errores. . Existe una ligera diferencia de filosofía entre el Reino Unido y la UE, pero en última instancia el objetivo sigue siendo el mismo: darse cuenta de la importancia técnica y estratégica de la ciberseguridad.
