La conformidad está evolucionando, ¿estás preparado para adaptarte?
NIS2 y DORA plantean desafíos para un amplio abanico de sectores
Hace una década, nuestro objetivo era asegurarnos de que nuestras organizaciones fueran transparentes y consideradas al recopilar datos personales de los usuarios, ofreciéndoles opciones sobre la gestión de sus datos, protegiéndolos meticulosamente y asesorando sobre las obligaciones y las prácticas recomendadas en caso de que los datos personales estuvieran en riesgo.
Hoy en día, sigo haciendo estas tareas. Sin embargo, a medida que nuevas normativas como la segunda Directiva sobre seguridad de las redes y de la información (NIS2) han cambiado el entorno normativo de la ciberseguridad, mi ámbito se ha ampliado para incluir no solo el mantenimiento de la privacidad de los datos personales, sino también cómo gestionar las amenazas a la integridad y la disponibilidad de los servicios que procesan esos datos personales. Esto significa que paso mucho tiempo con los equipos de producto e ingeniería de Cloudflare en asuntos relacionados con la disponibilidad y la resiliencia de nuestros productos. Trabajamos en desarrollar métodos para medir los efectos de las interrupciones, determinar qué incidentes deben ser reportados y, cuando sea necesario, elaborar realmente el informe y la respuesta.
No soy el único que percibe un cambio en el mundo de la privacidad y la conformidad. Según el Informe sobre la Gobernanza de la Privacidad 2024 de la Asociación Internacional de Profesionales de la Privacidad, más del 80 % de los profesionales de la privacidad tienen que desempeñar tareas que van más allá de sus funciones tradicionales en materia de privacidad. La conformidad normativa de la ciberseguridad se ha convertido en la segunda responsabilidad nueva más común entre los encuestados cuyas competencias están creciendo. Además de proteger la privacidad, ahora debemos asegurarnos de que nuestras organizaciones reduzcan los riesgos cibernéticos y mejoren la resiliencia.
Cómo hacer frente a las nuevas normativas
El cambio en el papel de los profesionales de la privacidad refleja un cambio significativo en el entorno normativo de la regulación de datos. En los últimos dos años, una serie de nuevas normativas ha hecho que la resiliencia y la gestión de riesgos sean tan esenciales para la conformidad como siempre lo ha sido la privacidad de los datos.
Comenzando con el RGPD de la Unión Europea, la primera oleada de importantes normativas en materia de privacidad y seguridad de los datos se centró en proteger a los usuarios del daño que supone que sus datos sean vulnerados. La conformidad con el RGPD, la Ley de Privacidad del Consumidor de California y otras normativas similares significaba respetar los derechos de los interesados, limitar la cantidad de datos personales que las organizaciones recopilaban y proteger esa información de la divulgación no autorizada y de actores malintencionados.
Tres nuevas normativas que han entrado en vigor desde 2023 son representativas de cómo está cambiando la conformidad normativa: la Directiva sobre seguridad de las redes y de la información 2 (NIS2), la Ley de Resiliencia Operativa Digital (DORA) y la Norma de Ciberseguridad de la Comisión de Bolsa y Valores de Estados Unidos (SEC). En Europa, NIS2 tiene como objetivo mejorar la resiliencia digital y las prácticas de seguridad en 18 sectores, mientras que DORA se enfoca en la gestión de riesgos informáticos en el sector financiero. La nueva norma de la SEC eleva los estándares de seguridad y de presentación de informes para las empresas estadounidenses que cotizan en bolsa.
Debido a que abarca tantos sectores en toda Europa, la directiva NIS2 puede tener el impacto más amplio de las tres. NIS2 exige a las organizaciones evaluar los riesgos de manera más exhaustiva, gestionar los incidentes más rápidamente y hacer más para garantizar la continuidad del negocio.
NIS2 exige que las organizaciones aborden:
La visibilidad de todos los activos informáticos en todos los entornos, lo que permite una evaluación exhaustiva de los riesgos y una gestión proactiva de las incidencias.
La seguridad de las cadenas de suministro de software que respaldan los sistemas críticos.
La seguridad a lo largo de todo el ciclo de vida de las redes y los sistemas de información.
La vulnerabilidad de las aplicaciones web críticas ante las amenazas de terceros.
La encriptación, control de acceso y autenticación para una amplia gama de tipos de usuarios, dispositivos y sistemas.
La NIS2 también exige esos requisitos de seguridad, privacidad y resiliencia a un conjunto más amplio de sectores y organizaciones que su predecesora, la Directiva de seguridad de las redes y de la información ("NIS") original. La directiva NIS se aplica a varios sectores que funcionan como infraestructuras nacionales esenciales, incluidos la energía, el transporte, la banca y las finanzas, el agua y la atención sanitaria. NIS2 añade la gestión de aguas residuales, la industria espacial, la administración pública y los servicios informáticos gestionados de empresa a empresa a ese grupo. También añade seis nuevos sectores a la categoría "importante": gestión de residuos, procesamiento de alimentos, investigación, servicios postales y de mensajería, producción y distribución de productos químicos y ciertos tipos de fabricación.
Las empresas de ambas categorías enfrentan los mismos requisitos básicos, pero NIS2 exige que las organizaciones en sectores esenciales demuestren proactivamente su conformidad. Es fundamental señalar que los requisitos de la NIS2 se extienden desde las organizaciones que tienen que cumplirla hasta los procesadores de datos de terceros que emplean.
En virtud de la NIS2, las organizaciones medianas (aquellas con más de 50 empleados o 10 millones de euros de facturación anual) de sectores esenciales o importantes de la Unión Europea están ahora sujetas a exigentes normas de seguridad. El incumplimiento tiene consecuencias potencialmente ruinosas: multas de hasta el 2 % de los ingresos globales para las empresas del sector «esencial» y del 1,4 % para las «importantes». El incumplimiento persistente puede dar lugar a la suspensión de los servicios o de los empleados responsables.
El efecto neto: más empresas en más sectores están sujetas a normas rigurosas de seguridad y resiliencia. Y los equipos de privacidad desempeñan un papel clave en ayudar a cumplir esos requisitos.
Desarrollo de las inversiones existentes en materia de privacidad
Muchas de las organizaciones cubiertas por la directiva NIS2 están abordando por primera vez las estrictas normativas de ciberseguridad. Lo hacen al tiempo que gestionan la complejidad a la que nos enfrentamos todos en la informática moderna, ya que operan en sistemas locales, implementaciones de nube híbrida y dispositivos en el perímetro.
La directiva NIS2 identifica 10 medidas de gestión de riesgos que deben adoptar las entidades que tienen que cumplirla. Entre ellas se incluyen la evaluación y la planificación para una amplia gama de riesgos, desde vulnerabilidades de la cadena de suministro y catástrofes naturales hasta interrupciones de la red y errores humanos. Esa complicada mezcla de riesgos se entrecruza entre los mundos físico y digital.
Pero hay buenas noticias para las organizaciones que tienen que cumplir estas normas y los equipos de privacidad que se esfuerzan por garantizar la conformidad. Muchos de los esfuerzos que ya han realizado para crear programas de privacidad maduros y completos pueden aprovecharse para ayudar a cumplir con las normativas de ciberseguridad.
Por ejemplo, los requisitos de evaluación de riesgos de la NIS2 obligan a las empresas a realizar un inventario de todos los activos de sus activos informáticos. DORA hace lo mismo para las empresas en el sector financiero. Los mapas de datos existentes desarrollados con fines de privacidad proporcionan a las organizaciones una ventaja inicial para comprender sus colecciones de activos y los riesgos que enfrentan.
Los equipos de privacidad desempeñan un papel esencial en el cumplimiento de las demandas de gestión de incidentes de la directiva NIS2 y otras nuevas normativas. Por ejemplo, ayudamos a determinar cuándo los incidentes cumplen con el umbral de notificación y colaboramos con los equipos de observabilidad para asegurar que nuestras organizaciones dispongan de los datos que debemos compartir con los reguladores y el público.
Conformidad con la normativa sin añadir complejidad
Por muy sólida que sea tu base, la conformidad con los requisitos de la NIS2 plantea nuevos desafíos tecnológicos. Para muchas organizaciones, la continuidad empresarial depende de la disponibilidad continua de las aplicaciones web. Esto significa protección contra ataques de denegación de servicio distribuido (DDoS) en las capas de red, transporte y aplicación.
Estas empresas también tienen un nuevo nivel de responsabilidad por la seguridad de las aplicaciones de terceros que utilizan y la cadena de suministro de software que subyace a sus infraestructuras. Las duras sanciones por incumplimiento hacen que los fundamentos de la ciberseguridad sean más importantes que nunca para prevenir los ataques de phishing y malware, controlar y gestionar el acceso y utilizar adecuadamente la encriptación, la encriptación y la autenticación multifactor (MFA).
No existe un único sistema o software que pueda afrontar esos desafíos. Es una cuestión de estrategia: una combinación de tecnología, política, procedimiento e ingenio. Pero las herramientas sí importan. Además, la elección de soluciones de seguridad adecuadas al entorno normativo en constante evolución puede reducir la complejidad y los costes a medida que las organizaciones persiguen el cumplimiento normativo.
Aquí tienes tres preguntas clave que debes considerar a la hora de evaluar las soluciones de ciberseguridad en el contexto de la directiva NIS2:
¿Son estas soluciones lo suficientemente versátiles para los entornos informáticos complejos? Existen soluciones específicas que pueden ser adecuadas para aspectos individuales de la conformidad con NIS2, pero integrar varias de ellas en entornos híbridos puede complicar la gestión y crear fugas de seguridad.
¿Simplifican la visibilidad? Inventariar los activos informáticos, identificar posibles problemas de seguridad e investigar rápidamente las amenazas son esenciales para cumplir con la directiva NIS2. La plataforma de seguridad adecuada ofrecerá visibilidad e informes a demanda.
¿Están diseñadas para la continuidad del negocio? Las interrupciones en las aplicaciones web amenazan los servicios esenciales. Busca soluciones que minimicen el tiempo de inactividad de la web mediante múltiples capas de protección contra ataques.
La conectividad cloud de Cloudflare, una plataforma unificada e inteligente de servicios de seguridad y redes, permite a las organizaciones aumentar su resiliencia y cumplir con las normativas de seguridad existentes y emergentes. Esta plataforma ofrece supervisión proactiva y alertas sobre incidentes de seguridad, elementos imprescindibles para cumplir los requisitos de notificación de NIS2, DORA y la norma de ciberseguridad de la SEC. Los servicios de Cloudflare también ayudan a las organizaciones a identificar posibles vulnerabilidades en sus cadenas de suministro de software y a escanear el tráfico web en busca de datos confidenciales o usuarios maliciosos. La encriptación de última generación es estándar en nuestros productos, y nuestros clientes pueden configurar el control de acceso, la gestión de activos y la autenticación.
Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.
Más información sobre este tema
Obtén más información sobre cómo cumplir con los estrictos requisitos de gestión de riesgos de la directiva NIS2 en el documento técnico sobre la adaptación a las obligaciones de gestión de riesgos de ciberseguridad de la directiva NIS2 en la Unión Europea.
Autor
Emily Hancock — @emilyhancock
Directora de privacidad, Cloudflare
CONCLUSIONES CLAVE
Después de leer este artículo podrás entender:
El papel de la privacidad en el contexto de las regulaciones cambiantes
Por qué políticas como NIS2, DORA y la norma de ciberseguridad de la SEC han elevado la resiliencia como un requisito de conformidad
Cómo lograr la conformidad sin añadir complejidad