Introducción a
La Directiva de Redes y Sistemas de Información (NIS), tanto en su forma inicial como ahora como NIS2, representa uno de los hitos más importantes en la historia regulatoria de la ciberseguridad. Lanzada en 2019, la directiva actualizada tenía como objetivo mejorar la seguridad de las redes y los sistemas de información dentro de la UE, con repercusiones que sintieron las empresas del Reino Unido incluso después del Brexit. Dos años después, es valioso analizar el progreso de las organizaciones con sede en el Reino Unido hacia el logro del pleno cumplimiento de NIS2.
Las regulaciones NIS2 y su importancia
NIS2 ha ampliado el alcance de la directiva original, exigiendo regulaciones de ciberseguridad no solo para los operadores de infraestructura crítica sino también para una esfera más amplia de entidades, incluidos todos los proveedores de servicios digitales. La directiva exige que estas organizaciones adopten medidas técnicas y organizativas adecuadas para gestionar los riesgos de sus redes y sistemas de información. El incumplimiento puede dar lugar a multas importantes, pero más que eso, puede dejar a las organizaciones vulnerables a ciberataques y violaciones de datos.
Relación post-Brexit con los NEI2
Con el Brexit, el Reino Unido ya no está obligado a implementar cambios en NIS2. Sin embargo, el gobierno del Reino Unido decidió cumplir con estas directivas ya que prácticamente todas las empresas del Reino Unido participan en transacciones con el Espacio Económico Europeo.Incluso dos años después del Brexit, la encuesta sobre brechas de cumplimiento del Reino Unido presenta un panorama mixto sobre el grado en que las empresas británicas están cumpliendo con sus obligaciones NIS2.
Comprender la brecha de cumplimiento en el Reino Unido
Según encuestas recientes, muchas organizaciones del Reino Unido informan distintos grados de comprensión y preparación en lo que respecta al cumplimiento de NIS2.Algunos han avanzado más en la implementación de los cambios necesarios a nivel técnico, de gobernanza y de políticas. Aún así, otros continúan luchando, principalmente debido a las complejidades y al panorama global de amenazas cibernéticas en constante cambio.
Un aspecto importante de la brecha de cumplimiento radica en la falta de comprensión sobre qué implica exactamente NIS2. Otro problema importante es la falta de estrategia en la gestión de los riesgos de ciberseguridad,donde algunas empresas todavía reaccionan a las amenazas en lugar de adoptar un enfoque proactivo basado en el riesgo.
Hallazgos de la investigación dos años sobre NIS2
Encuestas recientes revelan que una proporción significativa de organizaciones con sede en el Reino Unido aún no cumplen completamente con NIS2. Sólo alrededor del 40 por ciento de las empresas sentían que cumplían plenamente con los requisitos de NIS2, mientras que el resto no estaba seguro de su situación de cumplimiento o sabía activamente que no los cumplían.
Las encuestas destacaron la necesidad de que las organizaciones mejoren su comprensión de la directiva NIS2. Además, existe la necesidad de una mayor inversión en medidas de ciberseguridad y conocimiento dentro de las organizaciones para ayudarlas a cumplir.
Abordar la brecha de cumplimiento
Para abordar la brecha de cumplimiento identificada, las organizaciones del Reino Unido deben priorizar la comprensión de las implicaciones de NIS2 y tomar medidas proactivas para gestionar el riesgo cibernético. Las empresas deben invertir en evaluaciones periódicas de riesgos de ciberseguridad y realizar análisis de deficiencias para determinar dónde se quedan cortos.
La implementación de planes integrales de respuesta a incidentes, auditorías de seguridad periódicas y capacitaciones de concientización sobre ciberseguridad también pueden ayudar a las organizaciones a mejorar su situación de seguridad y su posición de cumplimiento. Además,los requisitos regulatorios como NIS2 deben considerarse una parte integral de la estrategia comercial debido a su potencial impacto operativo y reputacional.
Conclusión: el camino a seguir
Los resultados de la encuesta sobre brechas de cumplimiento del Reino Unido, dos años después del lanzamiento de NIS2, arrojan luz crítica sobre el estado de preparación en materia de ciberseguridad en el país. Existe una necesidad urgente y sostenida de que las organizaciones se familiaricen con todo el alcance de las regulaciones NIS2, integren estos requisitos en sus estrategias de gobernanza y gestión de riesgos y consideren buscar experiencia externa para garantizar un cumplimiento integral.
El panorama de la ciberseguridad está evolucionando rápidamente, al igual que los marcos regulatorios como NIS2. Para las empresas del Reino Unido, la inversión continua en gestión de riesgos cibernéticos y cumplimiento seguirá siendo tanto una responsabilidad como una salvaguardia esencial en un mundo digital interconectado.
