Llegó la NIS2. Seguro que muchos habéis visto miles de referencias a ella en redes sociales. Muchas de ellas referencias vacías que al final lo único que buscan es venderte un producto, que, muy probablemente, no tenga nada que ver con el cumplimiento de la NIS2.
Y es que la NIS2 es una normativa abstracta, que viene a solucionar el grave problema que existe actualmente, en el que las empresas, tras una fuga de datos, con tan solo informar a los afectados tienen suficiente. Pero necesita un elemento clave para ser vigente en nuestro país: la transposición en forma de Ley. Como no se ha llegado a tiempo a ella, Europa de momento ha impuesto una serie de cumplimientos de mínimos, pero afectan principalmente a empresas de tecnologías y proveedores de servicios de internet.
Pero en algún momento existirá una transposición, y todo apunta a que las empresas, especialmente aquellas consideradas como esenciales o importantes, deberán tener especial cuidado con como gestionan la ciberseguridad.
Y es aquí al punto donde quería llegar: ciberseguridad no es instalar un antivirus, o poner el firewall más moderno, no. Ciberseguridad es tener un plan para cuando todo vaya mal. Porque la realidad es que ya hace unos años que en el mundillo decimos aquello de que “no es un tema de si te va a pasar, si no de cuándo te va a pasar”.
La necesidad de establecer un plan
Es necesario establecer un plan, idealmente respaldado por algún marco de ciberseguridad (por ejemplo: ISO 27001, SOC Type 2, NIST) que contemple cómo vamos a tratar la seguridad en la empresa y, sobre todo, cómo vamos a reaccionar cuando llegue el momento crítico. Si tienes un negocio considerado “importante” o “esencial” por NIS2, existe la posibilidad de que tengas responsabilidad penal en caso de fuga de datos de cliente.
En ese plan tocará definir, entre otras cosas, cómo gestionaremos los riesgos asociados a nuestras operaciones, cómo garantizaremos la continuidad del negocio en caso de un ciberataque y, sobre todo, cómo protegeremos los datos sensibles de nuestros clientes y la reputación de nuestra empresa.
Habrá que definir claramente roles y responsabilidades dentro de la organización. Por ejemplo, quién liderará la respuesta ante un incidente, cómo se coordinará con los equipos técnicos, legales y de comunicación, y qué pasos seguiremos para mitigar el impacto. Además, deberemos establecer un protocolo de notificación para informar de manera transparente tanto a las autoridades competentes como a los clientes afectados, cumpliendo con los requisitos que establece la NIS2.
En Teradisk, empresa de Grupo Aire, explicamos a las empresas que es esencial realizar pruebas periódicas de este plan para asegurarnos de que funciona. Simulacros, auditorías internas y revisiones externas son herramientas clave para identificar fallos en nuestra estrategia antes de que ocurra una crisis real. Por ejemplo, ejecutar un «tabletop exercise» en el que todo el equipo involucrado practique su rol ante un ataque simulado puede marcar la diferencia.
La cadena de suministro y el elemento humano
Además, la NIS2 introduce la obligación de gestionar adecuadamente la cadena de suministro. Esto significa que no basta con protegernos internamente; también debemos exigir a nuestros proveedores que cumplan con estándares mínimos de seguridad y que nos aseguren que sus servicios no se conviertan en nuestro punto débil.
Por último, no olvidemos el elemento humano. Más allá de la tecnología, la ciberseguridad empieza con una cultura organizacional fuerte: formar y sensibilizar a nuestros empleados sobre los riesgos, las amenazas y cómo prevenirlas es una de las mejores inversiones que podemos hacer.
La llegada de la NIS2 no debe verse como un trámite burocrático más, sino como una oportunidad para elevar el nivel de madurez en ciberseguridad de nuestras empresas. Porque no se trata solo de cumplir la normativa; se trata de proteger nuestro negocio, nuestros clientes y nuestra reputación en un mundo cada vez más digital y, por ende, más vulnerable.
