La Comisión Europea publicó en diciembre de 2020 la revisión de la directiva NIS (siglas en inglés de Network and Information Systems), que establece medidas destinadas a garantizar la seguridad en las redes y los sistemas de información de la Unión Europea. Su actualización, prevista originalmente para mayo de 2021, pasó a ser una de las prioridades del continente tras el impulso al proceso de digitalización y ante el despunte de los ciberataques registrado tras el inicio de la pandemia.
Entre julio y octubre de 2020, se llevó a cabo una evaluación de los problemas que la primera directiva no había resuelto, según enumera el Real Instituto Elcano: “Una reducida ciberresiliencia empresarial, la diferente implementación según los países, el bajo conocimiento situacional y la carencia de respuestas comunes”. Sobre esta base, la Comisión Europea presentó una nueva propuesta, la directiva NIS 2, con el fin de “mejorar el margen de discrecionalidad y la baja armonización de las regulaciones nacionales”.
Dariush Ansari (Network Box): “Los pequeños proveedores de ciberseguridad a menudo no tienen las posibilidades financieras y estructurales para llevar a cabo certificaciones tan complejas”.
Mientras tanto, en España ha habido novedades recientes. El pasado 28 de enero se aprobó el Real Decreto 43/2021, que desarrolla a su vez el decreto de transposición de la primera directiva NIS, publicado en 2018. Esta norma sienta muchas de las bases organizativas para su implantación, y da una pista del tiempo que puede llevar aplicar la NIS 2 a nivel nacional.
Si bien los efectos de la norma se verán a largo plazo, los expertos consultados por Navarra Capital valoran que esta directiva da una respuesta común ante las brechas digitales generadas, sobre todo, por el auge del teletrabajo. Así mismo, coinciden en que sus efectos sobre el conjunto de las empresas, por un lado, y sobre el sector de la ciberseguridad, por otro, serán mayoritariamente positivos. Eso sí, alertan de una posible distorsión en la competencia en el sector y en el tejido empresarial, ya que las pymes podrían tener más dificultades para afrontar los gastos derivados de las nuevas exigencias.
La NIS 2 afecta a dieciséis sectores distintos, entre los que se encuentran el transporte, el ferroviario, el aeroespacial, los proveedores de agua y energía, los proveedores de infraestructuras y servicios digitales, los centros de procesamiento de datos, la salud, la gestión de residuos, la agroalimentación…
Clasifica a las empresas como ‘esenciales’ e ‘importantes’, y establece un régimen de supervisión distinto en ambos casos. Así mismo, amplía los requerimientos de ciberseguridad a las cadenas de suministros y a las relaciones con proveedores de las compañías. Por último, habla de sanciones “proporcionales y disuasorias”.
Por eso, el desarrollo de un marco de certificaciones para servicios y productos TIC es una de las medidas planteadas por la directiva. Pero, dependiendo de sus exigencias, se puede provocar “una distorsión en la competencia”, según advierte Dariush Ansari, director general de Network Box, de la que forma parte la firma navarra Armadillo Networks: “Los pequeños proveedores de soluciones de seguridad a menudo no tienen las posibilidades financieras y estructurales para llevar a cabo certificaciones tan complejas”.
Por otro lado, la NIS 2 impondrá medidas más restrictivas a las empresas en general como la obligación de notificar incidentes o la gestión de riesgos. Esta actividad requerirá la incorporación de un Chief Information Security Officer (CISO), un cargo que “debe mantener un canal de comunicación específico y directo” con el Comité de Administración de la empresa. Esta figura ya es una obligación para las empresas de “servicios esenciales y proveedores de servicios digitales” tras la publicación del Real Decreto 43/2021 el pasado mes de enero.
“Habrá quien opine que esto no viene sino a dar más problemas y molestias al sector empresarial”, apunta Aitor Lebrón, técnico de Ciberseguridad en CISTEC Technology. Las funciones y la responsabilidad que adquiere un CISO son “muy altas” y, en consecuencia, “deberá ser proporcionalmente remunerado”, lo que puede generar un “ligero quebradero de cabeza”, sobre todo a firmas pequeñas. Así mismo, esta figura “debe ser independiente” de los responsables de Sistemas y Comunicaciones porque su “rango” es superior a dichos cargos: “El CISO debe tener acceso a detalles, fallos de configuración o similares y, sobre esa base, determinar medidas o acciones que pueden o no gustar al resto de la estructura”.
Aitor Lebrón (CISTEC Technology): “Ahora, y más cuando llegue el 5G, la conexión es muy amplia. Y un incidente en una pequeña empresa puede fácilmente escalar a otras más grandes”.
No obstante, los expertos coinciden en que esta medida es necesaria para atajar tanto la carencia de respuestas comunes ante ciberataques como el bajo conocimiento situacional entre las empresas. “Cuando se produce una contingencia de seguridad digital, son pocas las ocasiones en las que se pone en conocimiento de las autoridades y se procede a denunciar el hecho. La seguridad digital es un problema de la organización en el momento en que se produce una incidencia. Pero, a medida que pasa el tiempo, puede escalar a la sociedad en general, por lo que es necesaria la comunicación documentada de dichos ataques”, incide Alberto Alfaro, gerente en CIMA Nuevas Tecnologías Informáticas.
“No podemos olvidar que, en ocasiones, es bueno observar el tablero desde arriba y comprender la situación global para entender las medidas locales. Ahora, y más cuando llegue el 5G, la conexión es muy amplia. Y un incidente en una pequeña empresa puede fácilmente escalar a otras más grandes. Siempre se ha repetido el mantra de que la seguridad de una organización es igual a la seguridad que oferte su eslabón más débil”, añade Lebrón.
En ese sentido, la nueva norma tendrá un “efecto positivo” en general, subraya Ansari: “Una guía que defina un estándar transeuropeo puede orientar mejor al tejido empresarial, como sucedió con el reglamento general de protección de datos. Dicho esto, es importante que las directrices sigan siendo viables y asequibles para que las empresas más pequeñas puedan implementar las pautas”.
AUMENTO DE LA ACTIVIDAD
Las empresas de ciberseguridad perciben que su actividad aumentará con la progresiva aplicación de la directiva europea y el contexto propiciado por la pandemia. De hecho, el sector moverá este año en España un volumen de negocio cercano a los 1.320 millones de euros, lo que supone un 8,1 % más que en 2020, según lo refleja en un estudio la consultora IDC Research.
“Las empresas de ciberseguridad tienen mucho que hacer en el presente contexto regulatorio porque son el primer eslabón, después de la autoridad nacional competente de la NIS, que debe dinamizar la implantación de la cultura de ciberseguridad”, explica Alfaro. En concreto, esta oportunidad de crecimiento viene por tres vías: el desarrollo de infraestructuras; los servicios de consultoría, seguros y auditorías; y la formación en certificaciones.
Alberto Alfaro (CIMA NTI): “Las empresas de ciberseguridad tienen mucho por hacer porque son el primer eslabón que debe dinamizar la implantación de la cultura de ciberseguridad”.
“Hasta no hace mucho, la gran mayoría de las empresas de desarrollo de software necesitaban volcar todos sus recursos en avanzar en nuevas características, mayor fluidez e interconexión, entre otros temas, quedando la seguridad en un segundo plano. Actualmente, se está poniendo mucha más atención en hacer desarrollos que sean seguros”, apostilla Óscar Lorente, director de Laboratorio Informático Forense de Navarra (LIFNA).
En segundo lugar, dado que la NIS 2 propone un esquema “altamente exigente”, la figura del CISO deberá contar con el apoyo de un “asesoramiento externo, con capacidades y conocimiento específico en materia de ciberseguridad y compliance (legal)”, apunta Lebrón: “Es importante recordar que el CISO debe ser una persona física en cada organización, que será la que presente y firme la documentación de cara a las administraciones públicas y sobre la que recaerá la responsabilidad en términos legales. Pero es muy probable que veamos la aparición de líneas de negocio basadas en el CISO as a Service, que estarán más orientadas a la asistencia, consejo y regulación”.
María Castañeda (Castañeda y Asociados): “Según algunos estudios sobre ciberseguridad, se estima que la contratación de seguros en este campo creció un 35 % entre 2019 y 2020″.
En la misma línea, el sector asegurador ha dado con una línea de negocio en crecimiento: los productos centrados en la ciberseguridad. “Es un tipo de seguro todavía desconocido, pero en el que están trabajando muchas agencias aseguradoras de maneras diferentes. Y cada vez hay más demanda. Según algunos estudios sobre ciberseguridad, se estima que su contratación creció un 35 % entre 2019 y 2020″, concreta María Castañeda, presidenta del Colegio de Mediadores de Seguros de Navarra.
Por último, las empresas de ciberseguridad pueden también posicionarse como “centros formadores para las certificaciones”, indica Lebrón: “Estos procesos realmente atestiguarán que se han implementado medidas o que se poseen conocimientos verificados por un tercero y esto podrá ser importante de cara a exenciones o atenuantes legales”.
CIBERSEGURIDAD EN NAVARRA
Es difícil cuantificar el nivel de ciberseguridad en la Comunidad foral porque no existe un ente público o privado que aborde el control y la gestión de los ciberincidentes. “Pero, en general, se puede asegurar que muchas empresas navarras de todos los tamaños han tenido contingencias de seguridad digital como malware, phishing, ataques a su sitio web… La mayoría no se han hecho públicos y los pocos casos conocidos lo son en un ámbito reducido”, resalta Alfaro.
Óscar Lorente (LIFNA): “Algunas empresas navarras han sufrido ya el secuestro de sus sistemas de control de planta, es decir, sus máquinas quedaron inutilizadas por un ataque”.
Una observación que completa Lorente: “Algunas firmas de la región han sufrido ya el secuestro de sus sistemas de control de planta, es decir, sus máquinas de producción quedaron inutilizadas por un ataque”. Así mismo, el director del LIFNA, al igual que el resto de sus colegas, destaca que “todavía queda mucho por hacer” en materia de ciberseguridad en la Comunidad foral, “principalmente en pymes y micropymes”.
En este sentido, atestigua que la contratación de este tipo de servicios continúa siendo más reactiva que preventiva para muchas empresas. “Las firmas suelen interesarse cuando tienen que poner remedio a una incidencia. Hay poca cultura de seguridad proactiva”, incide Alfaro. Además, calcular la tasa de rendimiento de una inversión realizada en ciberseguridad “es una labor compleja y, en muchas ocasiones, no termina de ser determinante para que las firmas aumenten esfuerzos económicos en ello”, apostilla Lebrón.