NIS2 impulsa un nuevo marco de ciberseguridad para la industria

La futura trasposición de la directiva europea NIS2 a la legislación española obligará a numerosas organizaciones a reforzar sus políticas de ciberseguridad, especialmente en sectores industriales y de infraestructuras críticas. Aunque el proceso legislativo aún no tiene un calendario definido, las empresas ya comienzan a prepararse para un escenario en el que la gestión de riesgos, la gobernanza y la notificación de incidentes adquieren un papel central. Agustín Valencia Gil Ortega, responsable de Seguridad OT y Advisor de seguridad en Fortinet, analiza los principales retos que plantea esta normativa y las medidas que deben adoptar las organizaciones para anticiparse.

Un calendario todavía incierto

La directiva NIS2 supone un paso adelante en la estrategia europea para reforzar la resiliencia frente a ciberamenazas, aunque su incorporación al marco legal español aún genera incertidumbre. Según explica Agustín Valencia, “la transposición sigue siendo una incógnita. Si bien ya se han perfilado los primeros borradores, todavía se desconoce la fecha en la que se iniciará el trámite parlamentario”.

A pesar de ello, el anteproyecto de ley ya incluye algunos elementos clave, como un anexo que concreta los sectores y actividades económicas que estarán sujetos a la normativa. Este aspecto resulta especialmente relevante para muchas organizaciones que todavía intentan determinar si se verán afectadas por la regulación.

Gobernanza y responsabilidad de la dirección

Uno de los cambios más significativos que introduce NIS2 es el papel que pasan a desempeñar los órganos de dirección en la gestión de la ciberseguridad. La normativa refuerza su responsabilidad directa tanto en la implantación como en la supervisión de las medidas de protección.

El propio anteproyecto establece que “los órganos de dirección de las entidades esenciales e importantes serán responsables de aplicar las medidas para la gestión de riesgos de ciberseguridad incluidas en esta ley, de supervisar su implantación efectiva y, en su caso, asumirán la responsabilidad por su incumplimiento”. Además, el régimen sancionador también contempla responsabilidades directas para los responsables de las organizaciones, ya que “los miembros de los órganos de dirección de las entidades responderán solidariamente de las infracciones que éstas cometan”.

Este enfoque refleja una tendencia creciente en la regulación europea: la ciberseguridad deja de ser únicamente una cuestión técnica para convertirse también en una responsabilidad de gobernanza empresarial.

Gestión de riesgos como base de la protección

La directiva NIS2 parte de un enfoque basado en la gestión de riesgos, lo que implica que las organizaciones deben identificar previamente sus procesos y activos críticos antes de implantar medidas de protección. Como explica Valencia, “NIS2 parte de como base de la gestión de riesgos, identificación de procesos críticos, activos críticos relacionados, amenazas y vulnerabilidades”.

A partir de ese análisis, las entidades deben establecer medidas técnicas y organizativas orientadas a proteger los sistemas y garantizar la continuidad de los servicios esenciales.

Notificación de incidentes y coordinación ante amenazas

Otro de los pilares de la directiva es la gestión de incidentes de ciberseguridad. Aunque la obligación de notificación ya estaba contemplada en la normativa anterior, NIS2 introduce plazos más exigentes para comunicar los incidentes. “La obligación de notificación no es nueva con NIS2, pero sí lo son los plazos marcados”, explica el responsable de seguridad OT de Fortinet.

En España, las organizaciones cuentan además con herramientas de referencia para estructurar sus procedimientos internos. Entre ellas destaca la Guía Nacional de Notificación y Gestión de Ciberincidentes de 2020, que, según Valencia, “sigue siendo una referencia valiosa para que cada organización elabore sus propios modelos de notificación”.

Soluciones tecnológicas para el cumplimiento

El cumplimiento de estas exigencias regulatorias requiere también apoyarse en soluciones tecnológicas capaces de abordar distintos ámbitos de la ciberseguridad, desde la protección de redes hasta la gestión de incidentes. En este sentido, Fortinet dispone de un amplio catálogo de herramientas para cubrir estas necesidades.

“El portfolio de Fortinet contiene alrededor de 50 soluciones”, explica Valencia. Muchas organizaciones ya trabajan con la compañía en el ámbito del secure networking, aunque las nuevas exigencias regulatorias están impulsando especialmente el desarrollo de capacidades en operaciones de seguridad. Así, señala que “las novedades de NIS2 respecto a la gestión de incidentes nos lleva a poner más foco en nuestra área de ‘Security Operations’, desde la monitorización a la orquestación de incidentes”.

Además de las soluciones tecnológicas, la compañía también ofrece programas de capacitación orientados a mejorar la respuesta ante ciberamenazas. “Asimismo, también contamos con una oferta de entrenamiento y formación en respuesta a incidentes”, concluye.