Informe Zscaler NIS2: el 83% de los responsables TI en España cree que sus empresas cumplirán a tiempo con la directiva

• El informe de Zscaler destaca la importancia de mitigar los riesgos derivados del incumplimiento de las regulaciones NIS2
• El 31% de los encuestados españoles cree que NIS2 es una prioridad principal para la dirección y el 57% asegura que se está convirtiendo en una prioridad mayor

Zscaler, Inc. (NASDAQ: ZS), empresa líder en seguridad en la nube, ha realizado un informe para analizar el grado de madurez de las empresas europeas en el cumplimiento de NIS2, cuya fecha límite es del 17 de octubre de este año, así como las herramientas que requieren para lograrlo. 

‘NIS2 & Beyond: Risk, Reward & Regulation Readiness’ revela los resultados de la encuesta realizada a 875 responsables de TI en seis mercados europeos. En el caso de España, el 83% de los responsables de TI confía en que su empresa cumplirá con los requisitos de NIS2 antes de la fecha límite, frente al 80% a nivel europeo. Sin embargo, solo el 12% afirma haberlos cumplido ya, por debajo del 14% de la media europea. 

En cuanto al entendimiento sobre esta directiva, el 56% de los responsables de TI en nuestro país cree que sus propios equipos comprenden los requisitos para el cumplimiento de NIS2 y el 51% considera que la dirección también los entiende perfectamente. En este sentido, los CISOs enfrentan una necesidad inmediata de educar a todos los actores implicados, desde el consejo de administración hasta jefes de departamentos y los empleados de toda la empresa para garantizar el cumplimiento de la nueva normativa. 

La dirección necesita actuar cuanto antes

Examinar la desconexión entre la confianza y la comprensión revela cierta fricción entre la forma en que los responsables debaten sobre NIS2 y cómo actúan al respecto. Los encuestados españoles indican que los líderes reconocen la creciente importancia de las regulaciones NIS2: un tercio (31%) afirma que es una prioridad absoluta para su liderazgo y el 57% asegura que se está convirtiendo en una prioridad mayor. Sin embargo, esto no parece reflejarse en el apoyo ofrecido a los equipos de TI de la empresa que soportan la carga del proceso de cumplimiento. En Europa, la mayoría de los responsables de TI (56%) considera que sus equipos no reciben el apoyo necesario por parte de sus directivos para cumplir con el plazo estipulado. 

En este sentido, el 67% de los líderes de TI españoles afirma que mantener la ciberseguridad de las empresas actuales requiere un cambio de mentalidad que no se conseguirá con un ejercicio de cumplimiento normativo. Asimismo, el 35% de las organizaciones españolas aún no ha implantado una arquitectura de zero trust como parte de su enfoque de ciberseguridad, de acuerdo con el estudio de Zscaler. 

“Aunque parece existir una confianza en toda la región en que las empresas alcanzarán el cumplimiento de la norma NIS2 antes de la fecha límite, nuestro informe sugiere que esta confianza podría estar construida sobre cimientos poco sólidos. Si no tienen cuidado, muchas empresas podrían descuidar otros procesos de ciberseguridad, algo que el 60% de los responsables de TI europeos admite que es posible. La dirección debe actuar ahora y dar a sus equipos de TI el apoyo necesario para evitar perder pasos clave en su viaje de cumplimiento y arriesgarse a consecuencias financieras graves”, asegura Pablo Vera, director regional de España y Portugal en Zscaler.

¿Pequeñas mejoras o una revisión a fondo de los marcos?

Aunque la directiva NIS2 se basa en el marco NIS existente, el 59% de los encuestados españoles cree que supone un cambio significativo con respecto al actual. Para cumplir con la directiva europea, a nivel general, los responsables de TI de Europa tienen que realizar cambios significativos en su stack tecnológico/soluciones de ciberseguridad (34%), así como formar a los empleados (20%) y a directivos (17%). Cuando se les preguntó sobre las tres secciones más desafiantes de la directiva los encuestados señalaron: seguridad en la compra, desarrollo y mantenimiento de sistemas de información y redes (31%); prácticas básicas de higiene cibernética y formación en ciberseguridad (30%); y políticas y medidas efectivas de gestión de riesgos de ciberseguridad (29%).

Aunque la directiva NIS2 se posiciona como una incorporación de requisitos básicos de ciberseguridad, el informe sugiere que muchas empresas europeas no están tan avanzadas con sus estándares de ciberseguridad como deberían: solo el 36% de los encuestados españoles calificaría como “excelente” su higiene cibernética actual. Al analizar la encuesta desde una perspectiva industrial, los sectores de transporte y energía presentan un nivel mucho más bajo de excelencia en higiene cibernética en Europa, con solo el 14% de los responsables de TI en empresas de transporte y el 21% de las empresas energéticas que afirman haberlo alcanzado. Estas cifras sugieren que muy pocas empresas de algunos sectores de infraestructuras críticas se han mantenido al día con las revisiones de seguridad en los últimos años, lo que podría plantear problemas durante sus controles de cumplimiento de la NIS2 este año.

Por su parte, James Tucker, jefe de CISO en Zscaler, asegura que las regulaciones por sí solas nunca serán la respuesta, particularmente dada la magnitud del desafío de ciberseguridad. De hecho, el 47% de los encuestados españoles señala que las regulaciones NIS2 no son suficientes, teniendo en cuenta los riesgos a los que se enfrentan las empresas. “En lugar de un problema a resolver, las regulaciones deben verse como una oportunidad para para elevar un peldaño la seguridad básica. La normativa debe formar parte de las revisiones de los procesos de una empresa, en lugar de ser una actividad independiente que deban abordar los equipos de TI. Las empresas deben aprovechar esta oportunidad para revisar la escala de sus stacks tecnológicos, así como encontrar formas de simplificar y rastrear su hardware y software a través de una plataforma para evitar la complejidad en su entorno empresarial”, añade.

¿Cómo puede Zscaler ayudar a superar los desafíos?

La directiva NIS2 enfatiza la responsabilidad de las empresas de garantizar la seguridad de los sistemas de las redes y los sistemas de información con una cultura de gobernanza y gestión integral de riesgos. Deben adoptar medidas técnicas, operativas y organizativas proactivas para gestionar los riesgos que representan para la seguridad de estos sistemas. Zscaler proporciona una función de seguridad integral con la plataforma Zscaler Zero Trust Exchange™, basada en la nube y potenciada por IA, diseñada para ayudar a las empresas a minimizar su superficie de ataque y asegurar la efectividad de los controles de seguridad a través de sus programas de gobernanza y gestión de riesgos con la ayuda de:

• Zscaler Internet Access™ y Zscaler Private Access™ proporcionan protección contra amenazas, protección de datos y aplicación de políticas controlando los flujos de tráfico mientras proporcionan registros de eventos y transacciones de seguridad utilizados para la monitorización e investigación de seguridad.
• La mitigación de la superficie de ataque a través de la plataforma Zero Trust Exchange garantiza que los usuarios nunca se coloquen en la red ni que las aplicaciones se expongan a Internet, reduciendo significativamente la superficie de ataque. Además, proporciona una política completa de control de acceso a aplicaciones internas.
• Zscaler Risk360™ permite la monitorización continua y detección de vulnerabilidades, permitiendo a las organizaciones abordar proactivamente los riesgos de seguridad.

La directiva NIS2 es un acto legislativo que tiene como objetivo lograr un alto nivel común de ciberseguridad en toda la Unión Europea. Los estados miembros deben asegurar que las entidades de 15 segmentos industriales tomen las medidas adecuadas para gestionar los riesgos que representan para la seguridad de los sistemas de información y redes, así como para prevenir o minimizar el impacto de los incidentes en los receptores de sus servicios y en otros servicios.

Metodología del informe NIS2 de Zscaler

El objetivo de este estudio era investigar cómo se están preparando las empresas para la nueva normativa NIS2, los retos a los que se enfrentan y en qué punto se encuentran en su proceso de cumplimiento. La encuesta se realizó entre más de 875 responsables de decisiones de TI que trabajan en empresas con más de 500 empleados de España, Reino Unido, Francia, Alemania, Italia, Países Bajos y Bélgica.