Las negociaciones políticas en torno a la aplicación de la directiva NIS-2 de la UE y el endurecimiento de la ciberseguridad han fracasado antes de las elecciones al parlamento alemán. El SPD, los ecologistas y el FDP no se han puesto de acuerdo en las cuestiones fundamentales. Por lo tanto, más de dos años después de la adopción de la directiva de la UE, sigue sin haber un control legal más estricto, lo cual es absolutamente necesario.
El plazo de aplicación sigue sin cumplirse. Tras las elecciones al parlamento alemán, el nuevo gobierno federal tendrá que hacer un segundo intento con un enfoque completamente nuevo. Si bien la política fracasa, las crecientes amenazas de ciberataques ponen de manifiesto más que nunca por qué las empresas no deben esperar a que Berlín establezca directrices concretas para su aplicación. Después de todo, la directiva NIS 2 ya se aplica en la UE, incluso sin una nueva ley nacional. Quien no actúe ahora se arriesga, además de a recibir sanciones, a sufrir fallos de seguridad importantes.
La situación actual
Mejor gestión de los puntos débiles y de los riesgos, un sistema de notificación más exhaustivo y tecnología punta en la detección de amenazas: la NIS-2 es el resultado de un trabajo muy exigente con un objetivo importante que consiste en fomentar la ciberseguridad de la comunidad europea. Dado que las amenazas se están intensificando en todo el mundo, la directiva ya debería estar en vigor. Lo importante ahora es que las empresas e instituciones implicadas cumplan los requisitos con rapidez y diligencia, sin hacer las cosas a medias.
Hasta ahora, los resultados de la aplicación de la directiva NIS 2 han sido muy irregulares. Casi ninguno de los 27 estados miembros ha aplicado plenamente la nueva directiva, si bien es verdad, que algunos países han alcanzado un nivel respetable de implementación. Los países rezagados aún disponen de un plazo de dos meses para concluir dicha implementaciónpero esta circunstancia no debe servir para que los miembros descuiden sus obligaciones a este respecto y se relajen. Después de todo, lo que está en juego es el bienestar y la seguridad de la comunidad europea, por lo que la motivación no debe ser únicamente la amenaza de posibles sanciones por incumplimiento, la supresión de subvenciones o el propio perjuicio financiero, sino también la voluntad de proteger estos intereses. Las infraestructuras estratégicas requieren una mayor ciberseguridad ante el constante aumento de las amenazas. La directiva NIS-2 es idónea para ello, siempre y cuando su aplicación no se siga retrasando y se lleve a cabo de forma concienzuda. El estancamiento de las negociaciones en Alemania pone de manifiesto que las empresas no pueden confiar en una solución política inmediata. De ahí la importancia de que tomen la iniciativa y se concentren en la aplicación de la directiva NIS-2. Pero ¿qué es lo que impide que la nueva directiva se aplique de forma satisfactoria?
¿La NIS-2 es demasiado exigente?
Los requisitos de la NIS-2 son razonables y realistas, y casi todos los especialistas en seguridad coinciden en ello. Es primordial reforzar la ciberseguridad general de las instituciones y las cadenas de suministro europeas mediante una mejor gestión de los riesgos, las vulnerabilidades a través de un sistema de alerta. Ante la situación de amenaza actual, las medidas puntuales de ciberseguridad no son suficientes, se requiere un enfoque global. Deberían existir iniciativas globales, es decir, una estrategia uniforme en toda la UE para aumentar la ciberseguridad.
La mayoría de las empresas están dispuestas a colaborar. Pero, por desgracia, los requisitos son muy complejos. Hay que tener paciencia para orientarse en la marañade normas, entenderlas y aplicarlas, teniendo en cuenta que muchas instituciones apenas han abordado las distintas fases relacionadas con la NIS-2. El endurecimiento del sistema de notificación exige, por ejemplo, que ahora se deba llevar un registro de proveedores de servicios y que se establezcan procesos específicos para la notificación legal obligatoria, dos aspectos a los que, antes de la NIS-2, no se prestaba la suficiente atención en muchos países. Esto se suma a la aparición de métodos de ciberataque basados en la inteligencia artificial, que aumentan la complejidad.
Socios de confianza para el cumplimiento normativo
Una buena alternativa, si las empresas se ven desbordadas por la complejidad, el esfuerzo y tal vez la falta de experiencia interna,es la colaboración con un proveedor de servicios externo. Estas entidades ofrecen una amplia oferta de servicios, que abarca desde la criptografía hasta los servicios de copia de seguridad y la protección de canales de comunicación importantes, y ayudan a las empresas a cumplir los requisitos de la directiva NIS 2 y a garantizar la seguridad de procesos empresariales clave como la comunicación y la negociación de valores. No obstante, la responsabilidad no puede delegarse en este tipo de colaboración. Las empresas siguen siendo responsables de gerstionar su infraestructura de seguridad, garantizar su propia ciberseguridad y cooperar con sus socios de forma eficaz.
La NIS-2 garantiza la uniformidad de la normativa de protección y una mejor ciberseguridad
En los últimos años, la opinión pública se ha dedicado a hablar con bastante frecuenciasobre la implementación de la NIS-2 , por lo que muchas instituciones ya no quieren oírnada más al respecto, por eso es tan importante destacar que la directiva no es una medida burocrática ineficaz de la UE, como afirman algunos catastrofistas. Dicha ley establece unos principios mínimos razonables que permitirán homogeneizar la ciberseguridad en toda la UE.
Para proteger las infraestructuras más importantes y a la ciudadanía, los estados miembros deben aunar esfuerzos y establecer normativas comunes. Es la única manera de garantizar que los procesos empresariales clave sigan funcionando en tiempos de crisis, lo cual, en muchos sectores, no solo es una obligación corporativa, sino también moral. Un problema de comunicación durante una operación importante, por ejemplo, tendría consecuencias nefastas en el sentido más estricto de la palabra. El parlamento alemán no aprobará la entrada en vigor de la NIS-2 antes de las elecciones generales. Las empresas no deberían seguir esperando y considerar la entrada en vigor de la NIS-2 como un mero trámite obligatorio, sino como una necesidad estratégica. Para no estar desprevenidos en el futuro, todos los gerentes de empresas e instituciones deberían recordar que la ciberseguridad solo puede lograrse mediante un esfuerzo conjunto.
* Florian Korhammer es director de seguridad de la información (CISO) de la empresa Retarus.
