9 de cada 10 empresas han sufrido incidentes de ciberseguridad que NIS2 es capaz de evitar

Faltan pocos días para que la Directiva 2022/2555 de la Unión Europea (UE) sobre ciberseguridad, conocida como NIS2, entre en vigor. Será el viernes 18 de octubre.

La nueva norma exige a las empresas medidas como definir planes de respuesta ante incidentes, proteger la cadena de suministro o evaluar vulnerabilidades. Sin embargo, aunque la fecha límite se acerca, todavía existen escollos.

Una encuesta de Veeam Software entre empresas de la región EMEA revela que 8 de cada 10 tienen confianza en su capacidad de cumplimiento, pero al mismo tiempo dos tercios admiten que no van a llegar a tiempo con la NIS2.

Los tres obstáculos más nombrados por los responsables de la toma de decisiones en TI son la deuda técnica (24 %), la incomprensión de los directivos (23 %) y las falta de inversiones (21 %). De hecho, el 40 % ha sufrido una disminución de los presupuestos de tecnología desde el anuncio del acuerdo sobre NIS2 hace más de año y medio.

A la hora de imaginar los efectos que tendrá esta normativa, son minoría (43 %) los que creen que mejorará significativamente la seguridad cibernética en los países que forman parte de la UE.

Aunque un 74 % de los encuestados cree que la NIS2 será beneficiosa, el 57 % duda de que vaya a tener un impacto sustancial en la postura general de la Unión.

Los escépticos tienen preocupaciones que van desde una falta de exhaustividad (35 %) al convencimiento de que cumplir con la NIS2 no garantizará la seguridad (34 %) o el solapamiento con otras leyes (25 %).

También inquietan cuestiones como unos plazos ajustados, la escasez de competencias en seguridad entre los trabajadores, la complejidad legal o los silos organizativos.

A pesar de que existe desconfianza sobre qué sucederá a partir de ahora, la realidad es que la ciberseguridad es un tema candente y que las acciones de los ciberdelincuentes afectan a multitud de compañías.

Tanto es así que un 90 % de las organizaciones sondeadas por Veeam admite haber sufrido en el último año algún incidente de seguridad que la directiva NIS2 podría haber evitado. El 44 % ha llegado a sufrir más de tres.

“NIS2 lleva la responsabilidad de la ciberseguridad más allá de los equipos de TI, hasta la junta directiva” y, “aunque muchas empresas reconocen la importancia de la directiva, la lucha por cumplirla mostrada en esta encuesta pone de manifiesto importantes problemas sistémicos”, declara Andre Troskie, EMEA Field CISO de Veeam.

“Las presiones combinadas de otras prioridades de las empresas y los retos informáticos pueden explicar la demora”, observa Troskie, “pero ello no disminuye la urgencia”.

“Dada la creciente frecuencia y gravedad de las ciberamenazas, no se pueden exagerar los beneficios potenciales de NIS2 en la prevención de incidentes críticos y el refuerzo de la resistencia de los datos”, señala.

“Los equipos directivos deben actuar con rapidez para colmar estas lagunas y garantizar el cumplimiento, no sólo por motivos normativos”, advierte el directivo de Veeam, “sino para mejorar realmente la solidez de la organización y salvaguardar los datos críticos”.

La lenta adopción de NIS2 radica en la variedad de prioridades y presiones empresariales. Entre los encuestados admiten que su cumplimiento es menos urgente que al menos otras diez cuestiones, como la propia falta de competencias, la rentabilidad o la digitalización.