NIS2 y DORA, protagonistas de la seguridad en 2025

November 28, 2024 @ 5:15 PM

El A través de estas normativas, Europa pretende fortalecer las defensas digitales de sus organizaciones y hacer frente a un entorno de ciberamenazas en constante evolución. Pero, ¿qué implican realmente NIS2 y DORA para las empresas europeas? ¿Cuáles son los desafíos que enfrentan al adaptar sus estructuras a estos nuevos marcos regulatorios? El pasado 8 de octubre, CIONET Spain, en colaboración con SUSE, organizó una mesa redonda con destacados expertos en ciberseguridad para desentrañar estas preguntas y analizar cómo estas regulaciones están moldeando el futuro de la ciberseguridad.

 

Fortaleciendo la resiliencia digital: NIS2 y DORA en la nueva era de la ciberseguridad

 

En la era digital, la ciberseguridad se ha convertido en una prioridad estratégica para organizaciones de todo el mundo. España, que se encuentra entre los países más atacados cibernéticamente, según el informe ESET 2024, es un claro ejemplo de cómo las amenazas en línea han puesto en alerta a instituciones y empresas. En este contexto de creciente vulnerabilidad, la Unión Europea ha lanzado dos regulaciones clave: la Directiva NIS2 y el Reglamento DORA, diseñadas para elevar los estándares de seguridad y resiliencia digital en los sectores críticos de la economía.

 

Un Cambio de Paradigma: NIS2 y DORA en el Corazón de la Ciberseguridad Europea

La Directiva NIS2 (Directiva sobre la Seguridad de Redes y Sistemas de Información) y el Reglamento DORA (Reglamento de Resiliencia Operativa Digital) representan una evolución significativa en la ciberseguridad europea. NIS2 establece una serie de obligaciones para mejorar la seguridad de las redes y sistemas de información, mientras que DORA se enfoca en garantizar la resiliencia operativa digital, exigiendo a las instituciones financieras y otros sectores críticos que desarrollen planes de contingencia robustos ante incidentes cibernéticos.

Ambas normativas tienen un enfoque que va más allá del cumplimiento técnico y legal. La implementación de NIS2 y DORA busca promover un cambio cultural en cómo las organizaciones gestionan la ciberseguridad, pasando de una postura reactiva a una verdaderamente preventiva. Este cambio es crucial para enfrentar los retos actuales, ya que las amenazas son cada vez más sofisticadas y, a menudo, tienen un impacto devastador no solo en los sistemas, sino también en la reputación de las empresas.

Los Desafíos Clave en la Implementación de NIS2 y DORA

La mesa redonda reveló algunas áreas principales en las que las empresas deben enfocar sus esfuerzos para implementar de manera efectiva estas regulaciones:

Gestión de la Cadena de Suministro:

DORA subraya la importancia de asegurar toda la cadena de suministro. A medida que las empresas externalizan servicios y colaboran con terceros, el riesgo de vulnerabilidades aumenta. Las empresas deben gestionar la seguridad de sus proveedores, asegurándose de que cumplan con los estándares de ciberseguridad establecidos. Esto implica auditar regularmente a los proveedores y establecer protocolos de control para mitigar riesgos externos.

Cumplimiento Geográfico y Diversificación Internacional: 

Para las organizaciones que operan en múltiples países, NIS2 y DORA representan un desafío adicional debido a la variabilidad en los requisitos de seguridad de cada jurisdicción. La diversificación geográfica requiere un esfuerzo de adaptación para cumplir con las normativas locales sin perder de vista los estándares generales de ciberseguridad. Este desafío legal y organizativo implica un alineamiento cuidadoso y continuo con las regulaciones específicas de cada país.

Expansión del Perímetro de Seguridad y Protección de IoT: 

El crecimiento de dispositivos IoT ha llevado a una expansión de los perímetros de seguridad, exponiendo a las empresas a nuevas amenazas. Bajo la filosofía de “confianza cero”, NIS2 y DORA impulsan a las organizaciones a adoptar enfoques en los que cada dispositivo, usuario y red sea considerado un posible vector de ataque. Esta postura es crucial para proteger las infraestructuras, ya que reduce la posibilidad de que actores maliciosos exploten puntos vulnerables en redes distribuidas.

 

 

Presupuesto de Ciberseguridad y Proporcionalidad: 

La asignación de recursos financieros para la ciberseguridad es un desafío persistente. Aunque la inversión en protección es necesaria, justificar el retorno de esa inversión sigue siendo complicado para muchas empresas. DORA y NIS2 buscan establecer parámetros claros que ayuden a las organizaciones a presupuestar de manera proporcional a sus necesidades, promoviendo una mayor diligencia en el uso de los recursos y fomentando un enfoque de gasto medido, donde cada euro asignado tenga un impacto significativo en la protección y resiliencia de la organización.

Sistemas Heredados y Gestión de Vulnerabilidades: 

La mayoría de las grandes organizaciones siguen dependiendo de infraestructuras legacy, sistemas que, aunque obsoletos, siguen desempeñando funciones críticas. Sin embargo, estos sistemas son un blanco fácil para los atacantes debido a su falta de actualización y mantenimiento. La normativa enfatiza la importancia de identificar y corregir vulnerabilidades en estas infraestructuras, impulsando a las organizaciones a actualizar o modernizar sus sistemas antiguos para mejorar su seguridad y adaptarse a las exigencias actuales.

Responsabilidad Corporativa y la Alta Dirección: 

NIS2 y DORA promueven una distribución de responsabilidades en ciberseguridad que va más allá del CISO (Chief Information Security Officer). Las normativas buscan involucrar a toda la alta dirección, incluyendo a directivos y miembros del consejo, en la gestión de riesgos. Esto no solo aumenta la conciencia sobre ciberseguridad a nivel estratégico, sino que también asegura que la responsabilidad de proteger los activos digitales de la empresa esté presente en todas las capas de liderazgo.

Transformación Cultural y Comunicación Eficaz: 

Una de las mayores barreras en la implementación de estas regulaciones es la falta de una cultura corporativa orientada a la seguridad. Los CISOs deben traducir los riesgos en términos de negocio, utilizando métricas e indicadores de rendimiento que sean comprensibles para la alta dirección. Esta adaptación de lenguaje es esencial para que los ejecutivos comprendan el impacto de la ciberseguridad en el crecimiento y estabilidad de la empresa, promoviendo una cultura de seguridad donde la protección sea vista como una inversión y no solo como un gasto.

 

064A1119064A1130

 

SUSE y su contribución a la implementación de NIS2 y DORA

 

SUSE ayuda a organizaciones y organismos gubernamentales a cumplir los requisitos de la NIS2 en varios aspectos. Concretamente, sus soluciones han demostrado que refuerzan la seguridad de las infraestructuras de TI en seis áreas, facilitando a las organizaciones el cumplimiento de la nueva directiva.

  • Seguridad de la cadena de suministro: SUSE propone soluciones para asegurar todos los componentes externos de la infraestructura, desde proveedores hasta subcontratistas, minimizando el riesgo de que estas conexiones introduzcan vulnerabilidades.
  • Encriptación y protección de datos: La confidencialidad y seguridad de los datos son prioridades, y SUSE ofrece opciones avanzadas de encriptación para proteger información sensible tanto en tránsito como en reposo.
  • Alta disponibilidad y recuperación ante desastres: Garantizar la continuidad del servicio es esencial. Las soluciones de SUSE están diseñadas para ofrecer alta disponibilidad, permitiendo una rápida recuperación en caso de interrupciones o ataques.
  • Seguridad en Edge Computing e IoT: La protección de datos en la periferia de la red es crítica, especialmente para dispositivos IoT. SUSE proporciona herramientas para asegurar estos puntos de acceso vulnerables y monitorizar actividades sospechosas.
  • Gestión de vulnerabilidades en contenedores y Kubernetes: Con el creciente uso de tecnologías de contenedores, la detección de vulnerabilidades en estos entornos es crucial. SUSE permite a las organizaciones gestionar y mitigar riesgos en plataformas como Kubernetes.
  • Mejora en la notificación de incidentes: Para cumplir con los requisitos de notificación de incidentes de NIS2 y DORA, SUSE facilita sistemas de alerta rápidos y efectivos que permiten a las empresas responder de manera inmediata y documentada a cualquier brecha de seguridad.


Un futuro con mayor resiliencia y seguridad

A medida que se aproxima 2025, las empresas enfrentan un desafío claro: adaptar sus sistemas, cultura y prácticas de ciberseguridad para cumplir con las demandas de NIS2 y DORA. Sin embargo, estas normativas deben ser vistas no solo como un conjunto de obligaciones, sino como un impulso hacia la resiliencia digital y la sostenibilidad operativa. Con el apoyo de organizaciones como SUSE, las empresas tienen a su disposición herramientas y estrategias que les permiten cumplir con estas normativas, pero también elevar sus estándares de seguridad y adaptación a un entorno de amenazas cada vez más complejo.

La implementación de estas regulaciones es un camino hacia la transformación. No se trata solo de cumplir, sino de crear organizaciones más fuertes, preparadas para enfrentar las amenazas del futuro y capaces de adaptarse a las nuevas exigencias de un mercado digital cada vez más interconectado.



 

No Comments Yet

Let us know what you think

You May Also Like

These Stories on CIONET Spain

Subscribe by Email