La Directiva NIS2 refuerza el marco de ciberseguridad en Europa, ampliando su alcance a más sectores críticos, como energía, transporte, salud y servicios postales. Uno de los aspectos relevantes es que asigna mayor responsabilidad a los altos cargos de la organización, quienes deben aprobar planes de ciberseguridad, garantizar la formación continua y asumir consecuencias en caso de incumplimientos graves. La nueva normativa también exige la implementación de medidas obligatorias, como la gestión de riesgos, la protección de redes, la seguridad en la cadena de suministro y la continuidad del negocio.
El plazo para cumplir con estos requisitos es muy corto, y las sanciones por incumplimiento son severas, llegando hasta 10 millones de euros o el 2% de la facturación global, en el caso de “entidades esenciales”, o hasta 7 millones de euros o el 1,4 % de su facturación, en el caso de entidades clasificadas como “importantes”, dependiendo de factores como su tamaño, sector o la criticidad de sus actividades, por lo que hace imperativo que las empresas comiencen a adaptar sus políticas y procesos cuanto antes.
Por su parte, DORA (Ley de Resiliencia Operativa Digital) se enfoca en fortalecer la resiliencia del sector financiero europeo. Establece requisitos como la gestión y mitigación de riesgos tecnológicos, supervisión estricta de proveedores externos, realización de pruebas de estrés y planes de continuidad para garantizar la prestación de servicios, incluso ante ciberataques.
La implementación de las normativas europeas DORA y NIS2 representa un gran desafío para las organizaciones. Según un informe de McKinsey, solo un tercio de las empresas europeas están preparadas para cumplir con estos nuevos requisitos. Por su parte, Gartner predice que para 2025, el 60% de las organizaciones utilizarán inteligencia artificial para mejorar la ciberseguridad y el cumplimiento normativo, en comparación con el 20% actual.
Con este panorama, ya no solo es importante que las organizaciones estén preparadas ante nuevos retos de la ciberseguridad, sino que, para muchas de ellas, estas regulaciones representan una obligación legal y pone de relevancia la necesidad de asociarse con empresas expertas en servicios de ciberseguridad para facilitar la adaptación al marco normativo, y con ello una estrategia integral para proteger sus activos críticos.