Inmunizar a Europa frente a las ciberamenazas: NIS2 y el papel de Zero Trust

Parece que fue ayer cuando estaba en la ceremonia de fin de curso de mis hijos, y ahora la Eurocopa de fútbol ya ha terminado y los Juegos Olímpicos están en pleno apogeo. Este verano está pasando volando. Y con ello, el tiempo que tienen las organizaciones para prepararse para la próxima Directiva de Seguridad de la Información y Redes 2 (NIS2), cuya fecha límite clave es octubre de 2024.  

A cualquiera que haya seguido mis contenidos durante los últimos meses le sorprenderá saber que solía ser escéptico respecto a la legislación, de sus verdaderas motivaciones y de su eficacia. Pero cuanto más he estudiado NIS2, más convencido estoy de que se trata de un gran paso adelante para la ciberseguridad en Europa.

Lejos de ser un ejercicio de cumplimiento performativo realizado por empresas individuales, creo que la Directiva NIS2 representa un gran avance en la inmunización de toda la región europea contra las ciberamenazas actuales y futuras. Con su alcance ampliado, requisitos de ciberseguridad más estrictos, mandatos para notificar incidentes cibernéticos y posibles multas personales, fomenta la concienciación digital en juntas directivas y sectores que históricamente no se han preocupado tanto por la seguridad o la gestión, impulsándolos a mejorar significativamente sus posturas de ciberseguridad.

O al menos así debería ser. Si las organizaciones se toman el tiempo para entenderlo correctamente.

Cuando hablamos con líderes de TI sobre sus enfoques NIS2 a principios de este año,  el 80 % nos dijo que confiaban en que sus organizaciones cumplirían antes de la fecha límite de octubre, pero sólo el 53 % creía que sus equipos comprendían completamente el alcance de sus obligaciones. Y esa cifra se redujo al 49 % cuando a los líderes de TI se les hizo la misma pregunta sobre su liderazgo corporativo. Lo que sí sabían era que NIS2 requiere un cambio significativo en sus estrategias de seguridad actuales y que muchos necesitan más apoyo del que estaban recibiendo para lograrlo.

Ninguna solución o proveedor de software puede garantizar el cumplimiento de NIS2. Sin embargo, la adhesión a los principios de Zero Trust (que la propia Directiva sugiere que las organizaciones adopten como una práctica básica de seguridad digital) aborda varios de sus criterios: reducir radicalmente las superficies de ataque y eliminar una amplia gama de variables técnicas que pueden obstaculizar el progreso del cumplimiento.

Y ahí es donde entra en juego Zscaler. En nuestro último informe técnico, "Trabajar hacia el cumplimiento de NIS2: cómo Zero Trust debe ser una parte fundamental de este proceso", analizamos cómo una arquitectura Zero Trust (así como las capacidades y herramientas específicas de Zscaler) pueden ayudar a las organizaciones a afrontar los desafíos que les plantea NIS2. Y dado que la implementación de NIS2 puede variar ligeramente en cada estado miembro, nos centramos en los requisitos y principios de alto nivel de la propia Directiva, dividiendo la guía en cuatro áreas principales:

·    Medidas de gestión de riesgos de ciberseguridad

·    Medidas de gobernanza de la ciberseguridad

·    Requisitos de notificación de incidentes

·    Supervisión y ejecución

Para aquellos de ustedes que sienten que necesitan un apoyo adicional para lograr que sus esfuerzos en NIS2 tengan éxito en octubre, esta lectura debería ser útil.

Sin embargo, si ha leído este blog y se siente seguro de su capacidad para lograr el cumplimiento, le sugeriría que consulte nuestro informe técnico para ver cómo podría ayudar a otros en su sector o ecosistema. Este tipo de esfuerzo regulador realmente resume el viejo aforismo de que una marea alta levanta todos los barcos. O , dicho de otro modo, proteger su propio piso contra incendios no sirve de nada si arde todo el edificio. 

Europa sólo puede reforzar verdaderamente sus ciberdefensas mediante un esfuerzo concertado de organizaciones de todos los tamaños y sectores para mejorar sus mecanismos de seguridad, reducir su exposición a los riesgos cibernéticos y agilizar las actividades de cumplimiento.