Las empresas afrontan el reto de cumplir con NIS2, la nueva directiva de la UE sobre redes y sistemas de información que empezará a aplicarse el próximo 17 de octubre. Esta es la normativa con la que los legisladores europeos intentan abordar uno de los grandes desafíos actuales y del futuro: la ciberseguridad.
La regulación, diseñada para aumentar la resiliencia y las capacidades de respuesta ante incidentes de organismos públicos y compañías privadas y, por tanto, de todo el territorio común, introduce nuevos requisitos y exige la implantación de una serie de medidas para más de 100.000 empresas europeas.
“La necesidad de adaptarse a sus requerimientos es crucial, ya no solo para conseguir una mayor ciberresiliencia, que es fundamental ante los riesgos actuales de ciberseguridad, sino porque su incumplimiento implicará multas que pueden alcanzar hasta los 10 millones de euros o el 2% de la facturación anual de una empresa”, explica David López, especialista de producto de ciberseguridad de Ricoh España.
Esta es la sanción que puede afectar a las denominadas “entidades esenciales” (sectores de alta criticidad, como energía, transporte, salud, etc.), mientras que las clasificadas como “importantes” (sectores críticos como servicios postales, gestión de residuos, productos químicos, etc.) pueden enfrentarse a multas de hasta siete millones o el 1,4% de sus ingresos. Incluso, las autoridades podrán imponer suspensiones temporales del servicio.
El articulado de NIS2 tiene como propósito reforzar las capacidades de respuesta ante incidentes y, como especialista en servicios gestionados, Ricoh, a través de IPM, su filial de infraestructura y cloud, está ayudando a sus clientes para que cumplan sin problemas los nuevos criterios de la normativa, a través de su especialización y solvencia técnica en las fases de planificación y ejecución de los proyectos. “La iniciativa es crítica y exige una preparación para entender los requisitos de la norma, el estado actual de cada compañía y las medidas a implementar. Esto se consigue durante la fase de análisis, que será un buen punto de partida para identificar y evaluar los riesgos, y establecer políticas y procedimientos que permitan mejorar la postura de ciberseguridad”, subraya David López.
Las compañías tendrán que mejorar en áreas como la detección, gestión, respuesta y procesos de notificación de incidentes, protección de la cadena de suministro, intercambio de información y divulgación de vulnerabilidades, ciberhigiene y formación para empleados y órganos de dirección, etc. “Estamos preparando a nuestros clientes para identificar los riesgos y amenazas, implementando las medidas y soluciones apropiadas para detectar y proteger sus activos, dotándoles de un equipo con herramientas y estructura para responder a cualquier intento de ataque, y definiendo procesos para restaurar los sistemas en caso de incidencia. Para ello, son claves los servicios gestionados de ciberseguridad que ofrecemos”, añade el experto en seguridad TI.
