Existe una brecha entre la confianza de las empresas europeas en su capacidad para cumplir la directiva y su preparación real. Las empresas parecen confiar en su capacidad, de ahí la apatía de la dirección que no se apresura a lanzar proyectos de cumplimiento.
Cuando se trata de ciberseguridad, la “próxima parada” para proveedores y empresas es el cumplimiento de los requisitos de la nueva normativa NIS2. Esta directiva representa un paso importante hacia una mayor seguridad de las infraestructuras críticas en Europa. Aunque esto impone obligaciones y costos adicionales, las empresas deben prepararse ahora para estar listas antes de la fecha límite del 18 de octubre de 2024.
Para entonces, todos los Estados miembros de la Unión Europea deberán haber transpuesto los requisitos de la Directiva NIS2 a su legislación nacional. Las entidades interesadas deberán haber implementado las medidas necesarias para cumplir con las nuevas normas.
Zscaler acaba de publicar un estudio sobre la preparación o falta de preparación de las empresas y su percepción de su situación con respecto a los plazos del NIS 2. Esto pone de relieve la brecha entre la confianza de las empresas europeas para cumplir la directiva antes del plazo del 17 de octubre. y su capacidad para comprender los requisitos requeridos. El estudio se basa en los comentarios de más de 875 administradores de TI en seis mercados europeos.
Los CISO deben concienciar a las partes interesadas
Según sus conclusiones, si bien la mayoría (80%) de los encuestados confía en que su empresa cumplirá los requisitos de cumplimiento antes de la fecha límite, sólo el 14% dice que ya los ha cumplido. Además, poco más de la mitad de los gerentes de TI (53%) cree que sus equipos comprenden completamente los requisitos; sin embargo, un poco menos (49%) cree que la gerencia comprende el significado completo.
Un vacío que pone de relieve la necesidad de concienciación. Por lo tanto, los CISO deben tomar su personal de peregrino para concienciar a todas las partes interesadas relevantes, con el fin de garantizar la comprensión, y posiblemente la apropiación, antes de la fatídica fecha. Esto va desde la junta directiva hasta los jefes de departamento y los empleados de la empresa.
Los autores del estudio, al constatar la brecha entre la confianza mostrada y el “progreso del trabajo” en las empresas, se preguntan con razón si las empresas comprenden las implicaciones de la directiva. “Existe una brecha entre la confianza mostrada por los responsables en el cumplimiento a tiempo de la directiva y su comprensión real de su contenido”, afirman. Esto pone de relieve la fricción entre su retórica sobre la directiva NIS 2 y las acciones reales implementadas para lograrla”.. En resumen, esta confianza es parte del método Coué o es el resultado de un optimismo mal informado.
TI no recibe el soporte necesario de la gerencia
Al analizar las cifras, la discrepancia parece aún más obvia. Los encuestados indican que los líderes de TI reconocen la creciente importancia de la regulación NIS 2. Un tercio (32%) dice que es una máxima prioridad para sus líderes, y el 52% dice que se está volviendo cada vez más importante.
Pero esta prioridad no parece traducirse en el soporte adecuado que necesitan los equipos de TI, quienes cargan con todo el peso del cumplimiento sobre sus hombros. Como resultado, la mayoría de los gerentes de TI (56%) cree que sus equipos no reciben el apoyo necesario de la gerencia para cumplir con el plazo de cumplimiento.
Esta brecha entre el voluntarismo de los cibergestores y la inacción de su gestión se puede explicar por la experiencia previa de evolución regulatoria, el RGPD. Sin duda, los líderes empresariales cuentan con la indulgencia de las autoridades reguladoras, como fue el caso cuando entró en vigor el RGPD.
Esperan beneficiarse de un período de transición. Cabe recordar que las empresas se beneficiaron de un período de transición de dos años para cumplir con el RGPD. Es muy posible que los legisladores adopten un enfoque similar para NIS 2, pero esto no está confirmado en este momento.
Salta hacia adelante para ponerte al día
Como explica Olivier Godin, SRVP de Ventas de Zscaler Francia, “Si bien existe cierta confianza en la capacidad de las empresas para cumplir con NIS 2 antes de la fecha límite que se acerca rápidamente, nuestra investigación muestra que esta confianza puede descansar sobre bases relativamente inestables. Si no están alerta, muchas empresas podrían verse adelantadas y descuidando otros procesos de ciberseguridad”.. Esta posibilidad es admitida por el 60% de los responsables de TI, según el estudio.
Aunque la directiva NIS 2 se basa en el marco NIS 1 actualmente vigente, el 62 % de los encuestados cree que difiere significativamente. Para cumplir con la directiva, los responsables de TI tienen una idea bastante precisa de los proyectos que les esperan. Reconocen que necesitan realizar cambios significativos en su conjunto de tecnología y soluciones de ciberseguridad (34%), creando conciencia entre los empleados (20%) y los gerentes (17%).
Entre las partes de la directiva más citadas como problemáticas, la seguridad en la adquisición, desarrollo y mantenimiento de redes y sistemas de información (31%) es la primera citada. A esto le siguen las prácticas básicas de higiene cibernética y concientización sobre la ciberseguridad (30%), seguidas de políticas y procedimientos para medidas efectivas de gestión de riesgos cibernéticos.
ciberseguridad (29%).
Los sistemas heredados pueden causar problemas
Además de la brecha destacada por el estudio, señala otro problema: los sistemas heredados pueden plantear problemas debido a su falta de preparación para dar el siguiente paso. “Aunque la directiva se presenta como un conjunto de requisitos fundamentales de ciberseguridad, el estudio revela que muchas empresas europeas no están tan avanzadas como deberían en lo que respecta a los estándares de ciberseguridad”escriben los autores del estudio.
Así, menos de un tercio (31%) de los encuestados considera que su nivel actual de higiene cibernética es “excelente”. Entre los sectores menos preparados, el estudio señala que sólo el 14% de los responsables de TI en el mundo del transporte y el 21% en el sector energético dicen haber alcanzado este nivel de excelencia. Las cifras muestran que muy pocas empresas en algunos sectores de infraestructura crítica han cumplido con los controles de seguridad en los últimos años.
El cumplimiento de NIS 2 puede ser un paso demasiado alto para estas empresas. Podrían tener dificultades para implementar medidas técnicas, operativas y organizativas para gestionar los riesgos que amenazan la seguridad de las redes y los sistemas de información.
