En menos de un mes, 17 de octubre, entrará en vigor la normativa NIS2, que obliga a las empresas de sectores críticos a aumentar el rigor de los requisitos de seguridad. A pesar de la cercanía de la fecha, el 90% de los 500 profesionales encuestados por la empresa Veeam, admitió al menos un incidente de seguridad que la directiva podría haber evitado en los últimos 12 meses.
Según dicha encuesta, solo el 43% de los responsables de la toma de decisiones de IT cree que NIS2 mejorará significativamente la ciberseguridad de la UE, y ello a pesar de que el 44% de los profesionales consultados haya sufrido más de tres ciberataques de este tipo y que el 65% de ellos hayan sido calificados como muy graves.
El cumplimiento de la norma NIS2 exige que las empresas apliquen medidas fundamentales, como la definición de planes de respuesta a incidentes, la protección de las cadenas de suministro, la evaluación de las vulnerabilidades y la consideración de niveles generales de seguridad, incluidas todas las organizaciones afiliadas, los partners y las cadenas de suministro. Sin embargo, para el cumplimiento de la normativa persisten varios obstáculos.
Entre los principales retos citados por los responsables de la toma de decisiones en materia de TI se encuentran la deuda técnica (24%), la falta de comprensión por parte de los directivos (23%) y la insuficiencia de presupuesto/inversiones (21%).
En particular, el 40% de los encuestados informaron de una disminución de los presupuestos de TI desde que se anunció el acuerdo político para NIS2 en enero de 2023, a pesar de sus estrictas sanciones comparables a las del Reglamento General de Protección de Datos (RGPD, GDPR en inglés). El 63% de los encuestados considera estricto el GDPR y el 62% expresa el mismo sentimiento sobre el NIS2.
Presiones competitivas
La apretada agenda y la apatía generalizada ante los presumibles beneficios de NIS2 están contribuyendo al incumplimiento sistemático de esta normativa por parte de los CIOs y CSOs que están retrasando su adopción hasta mucho más adelante.
Otros obstáculos son la falta de atención al cumplimiento de la directiva NIS2 (20%), los plazos ajustados (19%), la escasez de competencias en ciberseguridad (19%), la complejidad de la directiva (19%) y los silos organizativos (19%).
A pesar de las opiniones en contra, muchos encuestados perciben positivamente la NIS2 en el contexto de las obligaciones reglamentarias de su organización, sintiéndose optimistas (33%), confiados (32%) y animados (27%).
