La directiva NIS2, en vigor desde el 16 de enero de 2023, tiene como objetivo reforzar la ciberseguridad en las industrias clave de la UE. Los Estados miembros deben empezar a implementarla antes del próximo 17 de octubre de 2024, que está a la vuelta de la esquina, pero los directivos de las empresas no tienen un comprensión de lo que se les viene encima. Es lo que da a entender el informe de Kaspersky ‘Ciberseguridad empresarial y amenazas crecientes en la era de la IA: ¿saben los directivos saben lo que están haciendo?’, que duda del conocimiento de los gestores sobre legislaciones relacionadas con la ciberseguridad, como NIS2, pero también las que tienen que ver con WP.29, que regula la seguridad de los datos en los dispositivos de automatización de los coches, o con la directiva de la UE sobre la cadena de suministro.
La directiva NIS2 es una normativa que afecta a sectores esenciales como energía, agua, telecomunicaciones, banca y salud, entre otros. España deberá adaptarse a esta legislación, que exige la adopción de medidas de seguridad cibernética más rigurosas, incluidas políticas de análisis de riesgos, gestión de incidentes y seguridad en la cadena de suministro. Además, se establecerán sanciones significativas para aquellas empresas que no cumplan con los requisitos antes de la fecha límite en octubre de 2024.
El Gobierno español ya está trabajando en la implementación de esta normativa, pero, según los informes de Kaspersky, muchas empresas aún no están preparadas para los cambios que se avecinan. Entre los sectores más afectados en España se encuentran la energía y el transporte, donde las nuevas regulaciones sobre ciberseguridad y continuidad de negocio jugarán un papel crucial.
La mayoría de estas legislaciones ya están en vigor o lo estarán pronto, pero las conclusiones del informe de Kaspersky señalan un problema: aunque los directivos empresariales son conscientes de los peligros de las ciberamenazas, la mayoría no comprende su complejidad y subestima la capacidad de los grupos maliciosos para alcanzar sus objetivos. Esta situación, junto con una mala distribución de recursos, lleva a muchos directivos a luchar con las complejidades inherentes a la ciberdefensa.
Desconocimiento sobre los riesgos de la IA en el puesto de trabajo
Otro estudio de Kaspersky, ‘Infiltración empresarial de la IA Gen: Los ejecutivos de nivel C están una bomba de relojería de IA, conscientes de los riesgos pero demasiado complacientes para actuar’, muestra que, aunque la IA se está generalizando en el lugar de trabajo, los líderes empresariales aún necesitan más información sobre los riesgos cibernéticos asociados a su implementación. Más de la mitad (53%) de los altos directivos reconocen que la inteligencia artificial (IA) ya está presente en sus empresas para optimizar operaciones y simplificar algunas tareas diarias.
También se menciona que el 91% de los directivos desean saber más sobre el funcionamiento de la IA y los procesos de gestión de datos, lo que refleja un enfoque proactivo hacia el aprovechamiento de su potencial. Pero, a pesar de esta disposición, pocos miden la magnitud de los riesgos, con solo el 59% de los encuestados preocupados por las filtraciones de datos relacionadas con la IA, y menos de una cuarta parte (22%) que ha llevado el tema de la regulación de IA a sus consejos de administración.
Lamentablemente, la IA no es el único problema, y se observa una cierta falta de preparación en los países e industrias afectados. En el sector automotriz, una encuesta de Kaspersky indicaba que, a un año de la entrada en vigor de una de las regulaciones clave de WP.29, el 42 % de los directivos encuestados no tenía aún un plan para implementar la norma, y el 63,5% confesó no estar muy involucrado en la planificación de las próximas regulaciones. La industria automotriz y sus proveedores están, por lo tanto, muy retrasados en la implementación de las regulaciones.
“La ciberseguridad está en el centro de todas nuestras actividades hoy en día, desde nuestros desplazamientos hasta el buen funcionamiento de nuestras empresas e instituciones. Sin embargo, se observan alarmantes deficiencias en la implementación de las medidas de protección digital de la UE, lo que podría provocar una grave crisis de ciberseguridad. Dado el escaso número de empresas que regulan el uso de la IA en su organización y la insuficiencia de las medidas de ciberseguridad implementadas, el riesgo de enfrentar ciberataques y filtraciones de datos se multiplica. Las empresas deben asignar recursos urgentemente y anticipar la legislación futura para evitar consecuencias graves”, comenta José Antonio Morcillo, responsable de canal de Kaspersky en Iberia.