La aceleración tecnológica está llevando a nuestra sociedad hacia una nueva dimensión que nos llena de entusiasmo y de esperanza, a la vez que nos hace ser conscientes de que, como seres humanos, podemos correr riesgos que están fuera de nuestro imaginario. Atrás quedan películas de alto impacto en nuestra retina como The Matrix (1999) o Minority Report (2002) donde ya nos adelantaban situaciones que hoy son muy comunes ya en nuestro entorno tecnológico actual.
En medio de todo este ecosistema Europa, en su Agenda Digital 2030, ha ido construyendo toda una malla de seguridad para la contención de los riesgos, entendidos estos como amenazas, con el fin de proteger a las personas. Esta visión, más humanista y garantista, da sentido y coherencia a la construcción de una Europa de todos, centrada en sus ciudadanos. NIS2, DORA y la CRA son ejemplo de ello.
NIS 2. Su importancia
NIS 2 es la respuesta a la necesidad de actualizar y fortalecer la estructura ya diseñada por la anterior Directiva NIS. Y, por tanto, viene a redimensionar las medidas de seguridad dotándoles de un enfoque más amplio, de mayor altura de miras, incidiendo en dos aspectos claves: la notificación de incidentes y la seguridad de la cadena de suministro
La Directiva NIS, se centró inicialmente en el contexto interno de las organizaciones, poniendo el foco en la seguridad de los sistemas e instalaciones, la gestión de incidentes, la gestión de continuidad, la supervisión y auditorías y el alineamiento con los estándares internacionales.
Aunque la Directiva NIS supuso un avance, dejaba fuera todo el riesgo de la cadena de suministro. Aspecto este que, por ejemplo, el propio RGPD ya consideró como un elemento clave a través del estatuto del encargado de tratamiento definido en el art. 28.
La realidad señala al incremento del riesgo en la cadena de suministro. Por poner nombres propios, citamos los incidentes de NotPetya (2017), SolarWinds (2020) y OKTA (2022). Un estudio del Foro Económico Mundial del 2023 señalaba que el 39% de las organizaciones encuestadas en 2022 se habían visto afectadas por un ciber incidente en la cadena de suministro.
¿Qué tienen en común NotPetya, SolarWinds y OKTA? Tienen en común que un solo proveedor comprometido puede causar alto impacto en la cadena de valor.
NIS 2 trae tres cuestiones de especial calado: La seguridad en la cadena de suministro, la seguridad en la adquisición, desarrollo y mantenimiento de sistemas de redes e información, incluyendo la gestión y comunicación de vulnerabilidades, las políticas y procedimientos para la gestión del ciberriesgo.
NIS 2 nos obliga a cambiar el ángulo de mirada y a reenfocar nuestro radar, añadiendo nuevas variables para un análisis predictivo y proactivo, a través de un modelado de amenazas. NIS 2 no solo es un reenfoque de la estrategia de ciberdefensa de la Unión a través de las entidades clasificadas como esenciales o importantes, que exige modificar el espectro a monitorear, también es un nuevo enfoque en la necesidad de recolectar los datos desde nuestros proveedores, convertir esos datos en información procesable y, desde ahí, poder construir una base de conocimiento adecuado para la toma de decisiones estratégicas.
NIS 2 nos obliga a entender la ciberseguridad como un todo, tanto el ecosistema interno como el externo. La fortaleza de la construcción europea descansa en el eslabón más débil. Es ahí donde todas las organizaciones deberíamos hacer una reflexión profunda de cuál es nuestro papel, no solo en el escenario económico, productivo o social en el que nos desenvolvemos, sino cuál es nuestro papel en la ciber defensa del espacio europeo y nacional.
Por tanto, la lección más importante que nos trae NIS 2, independientemente de si me aplica directamente la misma, es, si de verdad estamos entendiendo nuestro papel en la cadena de valor y la importancia que dicho papel tiene en la pervivencia de nuestros derechos y libertades como ciudadanos europeos.
Por tanto, NIS 2 no es una obligación más, es la esencia de lo que somos para garantizar lo que queremos seguir siendo.
