Ante los nuevos marcos legales de ciberseguridad en Europa DORA y NIS2, ISACA ha publicado su libro blanco ‘Resiliencia y seguridad en sectores críticos: Cómo abordar los requisitos de NIS2 y DORA’, una guía con la que pretende aportar una guía estratégica para ayudar a empresas y organizaciones a implementar el cumplimiento normativo a la vez que fortalecen su ciberresiliencia.
A pesar de que el reglamento de Resiliencia Operativa Digital (DORA) ya ha entrado en vigor en la Unión Europea (UE) y la directiva de ciberseguridad NIS 2 ya es oficialmente aplicable, un gran número de empresas aún no comprende plenamente sus obligaciones derivadas de estas normas, o tienen dificultades para aplicarlas en la práctica.
Concretamente, desde la asociación internacional enfocada a la búsqueda de confianza digital ISACA, apuntan cómo muchas organizaciones, especialmente las pymes y proveedores de TIC, aún desconocen los requisitos de estas regulaciones, incluyendo cómo implementarlos con éxito o incluso los beneficios que aportan.
En este marco, solo algunos Estados miembros de la UE, entre los que no se encuentra España, cumplieron con el plazo de octubre de 2024 para trasponer la NIS2 a su legislación nacional. Un ejemplo del desafío que supone implementar las normativas es Irlanda que, según ha detallado ISACA, aún siendo una de las economías «más avanzadas digitalmente de Europa», el 38 por ciento de las empresas han admitido no estar preparadas para su implementación.
Así, la organización ha valorado que es probable que esta «insuficiente preparación» se refleje en gran parte de los países de la UE, principalmente entre las pymes y las entidades no financieras, que deberán enfrentarse a nuevas «obligaciones de rendición de cuentas, auditoría e informes».
Con todo, ISACA ha subrayado cómo ambas normativas, DORA y NIS2, son «fundamentales» para la resiliencia operativa digital de la Unión Europea, por lo que ha publicado su informe técnico ‘Resiliencia y seguridad en sectores críticos: Cómo abordar los requisitos de NIS2 y DORA’, una guía estratégica para empresas, instituciones financieras, administraciones públicas y proveedores de tecnología.
Según ha explicado, este informe desglosa de forma clara ambas normativas y describe cómo las empresas pueden implementar el cumplimiento normativo «a la vez que fortalecen su ciberresiliencia». Esto se debe a que, como ha detallado el Director de Estrategia Global de ISACA, Chris Dimitriadis, el reto «no solo reside en comprender las regulaciones, sino también en garantizar que las empresas sepan aplicarlas eficazmente».
Igualmente, Dimitriadis ha hecho hincapié en cómo DORA y NIS2 suponen «un cambio fundamental en la forma en que las organizaciones abordan la resiliencia y la gobernanza de la ciberseguridad», al tiempo que ha apuntado que las consecuencias de no cumplir estas normativas «son graves», así como lo son los riesgos de interrupción operativa. «ISACA se compromete a ayudar a las personas y organizaciones a prepararse para esta nueva era», ha sentenciado.
GUÍA ESENCIAL PARA LAS EMPRESAS HACIA EL CUMPLIMIENTO NORMATIVO
Algunos de los puntos clave que recoge esta guía en forma de libro blanco, son cuestiones como ayudar a las empresas a comprender el alcance de la normativa, determinando si están sujetas a NIS2, a DORA o a ambos. «Incluso las empresas no pertenecientes a la UE podrían verse afectadas indirectamente», ha matizado la organización.
Siguiendo esta línea, la guía también facilita construir un marco de TIC resiliente, estableciendo estrategias integrales de gestión de riesgos de TIC y alineándolas con los objetivos de negocio. También permite revisar y probar periódicamente los panes de continuidad y recuperación.
Otro punto recogido es asegurarse de que los contratos con los proveedores de TIC incluyan cláusulas específicas sobre continuidad, seguridad y derechos de auditoría. Esto se debe a que muchos proveedores de tecnología, incluyendo desarrolladores de ‘software’, proveedores de nube y proveedores de servicios gestionados, «desconocen que DORA les afecta directamente debido a sus contratos con instituciones financieras», según ha explicado ISACA.
Asimismo, también ayuda a prepararse para las obligaciones de notificación de incidentes de las normativas, que disponen de plazos estrictos y distintos. En el caso de NIS2, la notificación preliminar se requiere en 24 horas y el informe final en el plazo de un mes. Por su parte, con DORA los incidentes graves de TIC deben notificarse en un plazo máximo de cuatro horas desde su clasificación.
Además de todo ello, la guía incluye igualmente herramientas de capacitación para la dirección y el personal, con formación en ciberseguridad para todos los niveles, así como opciones para realizar auditorías internas y externas con regularidad.
También dispone de opciones para que las entidades financieras realicen pruebas de penetración basadas en amenazas y que comprueben su resiliencia operativa. Finalmente, la guía ayuda a mantener actualizada la documentación sobre políticas, evaluaciones de riesgos, controles y respuestas, «algo fundamental para la transparencia y la revisión regulatoria».
Se ha de tener en cuenta que, en caso de incumplimiento de la NIS2, las multas pueden alcanzar entre los 7 y los 10 millones de euros para las grandes entidades, mientras que DORA deja la aplicación de las sanciones a las autoridades nacionales.
RECURSO CLAVE PARA EL ECOSISTEMA DIGITAL EUROPEO
ISACA ha matizado además que el informe técnico no solo ayuda a los equipos de cumplimiento a comprender las expectativas regulatorias, sino que también apoya a los directores de seguridad de la información (CISO), líderes de TI y profesionales de riesgos en el desarrollo de resiliencia a largo plazo y confianza digital.
Con todo ello, la organización ha subrayado que, diseñado para guiar no solo a las organizaciones, sino también a sus socios y proveedores tecnológicos, el análisis comparativo de DORA y NIS 2, junto con las recomendaciones prácticas, convierten esta guía en «un punto de referencia clave para navegar por el cambiante panorama regulatorio cibernético europeo».
Las organizaciones y empresas interesadas pueden descargar una copia gratuita de la guía de ‘Resiliencia y Seguridad en Sectores críticos: Cómo abordar los requisitos de NIS2 y DORA’ en la página oficial de ISACA.
