A medida que se acerca la fecha de entrada en vigor de la Directiva 2022/2555 relativa a la seguridad de las redes y de la información: NIS2, (Network and Information Security, por sus siglas en inglés), las organizaciones afrontan un panorama de emociones encontradas. La NIS2, una normativa destinada a reforzar la ciberseguridad en toda la Unión Europea (UE) ampliando el alcance y aumentando el rigor de los requisitos de seguridad, entrará en vigor el 18 de octubre de 2024.

La compañía de resiliencia de datos, Veeam Software, ha realizado una encuesta que revela que sólo el 43% de los responsables de toma de decisiones de IT en EMEA cree que NIS2 mejorará significativamente la ciberseguridad de la UE, a pesar de que un 90% de los encuestados admitió al menos un incidente de seguridad que la directiva NIS2 podría haber evitado en los últimos 12 meses. Resulta alarmante que el 44% haya sufrido más de tres ciberataques de este tipo y que el 65% de ellos calificados como “muy graves”.

Los resultados de la encuesta, que recoge las opiniones de más de 500 responsables de las decisiones en materia de TI de Alemania, Bélgica, Francia, Países Bajos y Reino Unido, revelan la situación a menos de un mes de que esta directiva entre en vigor el próximo 18 de octubre. Aunque casi el 80% de las empresas confían en su capacidad para cumplir finalmente las directrices de NIS2, hasta dos tercios admiten que no cumplirán este plazo inminentemente. 

Obstáculos para el cumplimiento de NIS2

El cumplimiento de la norma NIS2 exige que las empresas apliquen medidas fundamentales, como la definición de planes de respuesta a incidentes, la protección de las cadenas de suministro, la evaluación de las vulnerabilidades y la consideración de niveles generales de seguridad, incluidas todas las organizaciones afiliadas y los partners. Sin embargo, para el cumplimiento de la normativa persisten varios obstáculos.

Entre los principales retos citados por los responsables de la toma de decisiones en materia de TI se encuentran la deuda técnica (24%), la falta de comprensión por parte de los directivos (23%) y la insuficiencia de presupuesto/inversiones (21%). En particular, el 40% de los encuestados informaron de una disminución de los presupuestos de TI desde que se anunció el acuerdo político para NIS2 en enero de 2023, a pesar de sus estrictas sanciones comparables a las del Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés). El 63% de los encuestados considera estricto el GDPR y el 62% expresa el mismo sentimiento sobre el NIS2.

Presiones competitivas ante las ciberamenazas

El ralentizado ritmo de adopción de NIS2 se debe probablemente a la multitud de prioridades y presiones empresariales a las que se enfrentan estas organizaciones. Los encuestados consideran que NIS2 es menos urgente que otras diez cuestiones incluyendo la falta de competencias, la rentabilidad y la transformación digital. El 42% de los encuestados que consideran que NIS2 es insignificante para las mejoras de ciberseguridad de la UE atribuyen esto a las consecuencias de su incumplimiento, lo que lleva a una apatía generalizada hacia la directiva.

Otros resultados clave de la encuesta son:

• El 74% de los encuestados considera beneficiosa la NIS2, pero el 57% duda de que tenga algún impacto sustancial en la postura general de la UE en materia de ciberseguridad.
• Los escépticos citan otras preocupaciones, como la falta de exhaustividad de NIS2 (35%), la creencia de que su cumplimiento no garantiza la seguridad (34%) y el solapamiento con la normativa vigente (25%).
• Otros obstáculos son la falta de atención al cumplimiento de la directiva NIS2 (20%), los plazos ajustados (19%), la escasez de competencias en ciberseguridad (19%), la complejidad de la directiva (19%) y los silos organizativos (19%).
• A pesar de las opiniones en contra, muchos encuestados perciben positivamente la NIS2 en el contexto de las obligaciones reglamentarias de su organización, sintiéndose optimistas (33%), confiados (32%) y animados (27%).